Pratite nas preko RSS-aRansomware CTB-Faker zaključava fajlove u lozinkom zaštićeni ZIP fajl
Opisi virusa, 26.07.2016, 09:00 AM
Posle PowerWarea i CryptMIC-a, evo još jednog prevaranta među ransomwareima. Ransomware CTB-Faker pretvara se da je mnogo poznatiji CTB-Locker. I to nije sve. On laže žrtve da koristi jaku enkripciju iako ustvari samo premešta fajlove u ZIP fajlove koji su zaštićeni lozinkom.
Dakle, dobra vest je da CTB-Faker nije opasan kao CTB-Locker i da je fajlove mogući vratiti. Doduše, taj proces nije jednostavan pa je običnim korisnicima računara potrebna pomoć da to urade.
Još jedna dobra vest je da Lorens Abrams sa Bleeping Computera dobrovoljno i besplatno pomaže žrtvama da vrate svoje fajlove.
Sa CTB-Faker ransomwareom možete se sresti na pornografskim sajtovima na kojima se reklamiraju videi sa privatnim striptizom. Posetici ovih sajtova se podstiču da preuzmu ZIP fajl koji sadrži izvršni fajl. Pokretanjem tog fajla dolazi do infekcije ransomwareom CTB-Faker, koji zatim polako počinje da premešta fajlove korisnika u fajl “C:Users.zip”, koji je zaštićen lozinkom.
U tu svrhu CTB-Faker koristi program WinRAR. Kada završi sa tim, ransomware primorava računar da se restartuje i zatim prikazuje poruku o otkupu.
To obaveštenje o tome šta se dogodilo sa fajlovima izgleda kao obaveštenje koje prikazuje daleko poznatiji CTB-Locker. Razlog je očigledan - žrtve će biti spremnije da plate otkup ako veruju da im je računar zaražen CTB-Lockerom.
Ova taktika je izgleda uspešna. Abrams je otkrio jednu Bitcoin adresu koju koristi CTB-Faker na koju je stiglo 577 bitcoina (oko 381000 dolara).
Ne mora da znači da je sav taj novac došao od žrtava CTB-Fakera, ali ako se zna da se od svake žrtve traži 0,08 bitcoina (oko 50 dolara), to bi značilo da je CTB-Faker inficirao više od 7200 računara.
U obaveštenju o otkupu CTB-Faker tvrdi da koristi kombinaciju SHA-512 i RSA-4096 da bi zaključao fajlove, ali zapravo, ransomware koristi AES-256, standardnu enkripciju za zaključavanje fajlova u WinRAR fajlu.
AES-256 ekripcijski ključ (WinRAR lozinka) je hardkodovan u izvršnom fajlu koji se nalazi u ZIP fajlu koji se preuzima sa pornografskih web sajtova. Ako žrtva ima taj fajl sačuvan negde, može kontaktirati Abramsa da bi dobila lozinku za ZIP fajl.
Izdvojeno
FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem
FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje
Novi malver nazvan ''Korona virus'' zaključava Windows
Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje
Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo
Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje
Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru
Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje
Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj
Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje