Ransomware CTB-Faker zaključava fajlove u lozinkom zaštićeni ZIP fajl
Opisi virusa, 26.07.2016, 09:00 AM

Posle PowerWarea i CryptMIC-a, evo još jednog prevaranta među ransomwareima. Ransomware CTB-Faker pretvara se da je mnogo poznatiji CTB-Locker. I to nije sve. On laže žrtve da koristi jaku enkripciju iako ustvari samo premešta fajlove u ZIP fajlove koji su zaštićeni lozinkom.
Dakle, dobra vest je da CTB-Faker nije opasan kao CTB-Locker i da je fajlove mogući vratiti. Doduše, taj proces nije jednostavan pa je običnim korisnicima računara potrebna pomoć da to urade.
Još jedna dobra vest je da Lorens Abrams sa Bleeping Computera dobrovoljno i besplatno pomaže žrtvama da vrate svoje fajlove.
Sa CTB-Faker ransomwareom možete se sresti na pornografskim sajtovima na kojima se reklamiraju videi sa privatnim striptizom. Posetici ovih sajtova se podstiču da preuzmu ZIP fajl koji sadrži izvršni fajl. Pokretanjem tog fajla dolazi do infekcije ransomwareom CTB-Faker, koji zatim polako počinje da premešta fajlove korisnika u fajl “C:Users.zip”, koji je zaštićen lozinkom.
U tu svrhu CTB-Faker koristi program WinRAR. Kada završi sa tim, ransomware primorava računar da se restartuje i zatim prikazuje poruku o otkupu.
To obaveštenje o tome šta se dogodilo sa fajlovima izgleda kao obaveštenje koje prikazuje daleko poznatiji CTB-Locker. Razlog je očigledan - žrtve će biti spremnije da plate otkup ako veruju da im je računar zaražen CTB-Lockerom.
Ova taktika je izgleda uspešna. Abrams je otkrio jednu Bitcoin adresu koju koristi CTB-Faker na koju je stiglo 577 bitcoina (oko 381000 dolara).
Ne mora da znači da je sav taj novac došao od žrtava CTB-Fakera, ali ako se zna da se od svake žrtve traži 0,08 bitcoina (oko 50 dolara), to bi značilo da je CTB-Faker inficirao više od 7200 računara.
U obaveštenju o otkupu CTB-Faker tvrdi da koristi kombinaciju SHA-512 i RSA-4096 da bi zaključao fajlove, ali zapravo, ransomware koristi AES-256, standardnu enkripciju za zaključavanje fajlova u WinRAR fajlu.
AES-256 ekripcijski ključ (WinRAR lozinka) je hardkodovan u izvršnom fajlu koji se nalazi u ZIP fajlu koji se preuzima sa pornografskih web sajtova. Ako žrtva ima taj fajl sačuvan negde, može kontaktirati Abramsa da bi dobila lozinku za ZIP fajl.

Izdvojeno
Zloglasni ransomware kartel LockBit obeležio godišnjicu rada najopasnijom verzijom ransomware-a do sada

Trend Micro je otkrio novu verziju ransomware-a LockBit, LockBit 5.0, koja je „značajno opasnija“ od prethodnih verzija. Grupa LockBit ob... Dalje
Novi malver ModStealer u lažnim oglasima za posao

Nakon što je prošlog meseca upozorila na malver za Mac skriven na lažnom sajtu za PDF konverziju, firma Mosyle je otkrila ModStealer, novi malver z... Dalje
Novi malver Raven Stealer krade lozinke i podatke o plaćanju iz Chrome-a i Edge-a

Tim za obaveštajnu analizu pretnji Lat61 kompanije Point Wild otkrio je novi malver nazvan Raven Stealer, koji je dizajniran da tiho i brzo krade pod... Dalje
MostereRAT: novi trojanac preuzima potpunu kontrolu nad Windows uređajima

Istraživači iz FortiGuard Labs upozoravaju na novi malver nazvan MostereRAT, koji se širi putem phishing kampanje i cilja korisnike Windows uređaj... Dalje
“Besplatni” krekovani program može biti skupa lekcija

Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se ... Dalje
Pratite nas
Nagrade