Ransomware CryptoWall se širi uz pomoć malicioznih reklama na velikim web sajtovima

Opisi virusa, 09.06.2014, 00:05 AM

Ransomware CryptoWall se širi uz pomoć malicioznih reklama na velikim web sajtovima

Maliciozne reklame na domenima koji pripadaju Dizniju, Fejsbuku, Gardijanu i drugim kompanijama vode posetioce do malvera koji šifruju kompjuterske fajlove i traže otkup za njih, upozorila je kompanija Cisco Systems.

Do ovog otkrića se došlo ubrzo posle velike policijske akcije protiv bot mreže koja je distribuirala bankarskog Trojanca Gameover Zeus i ransomware CryptoLocker, koji se pojavio prošle godine i za samo dva meseca zarazio skoro 250 hiljada računara.

Istraga koju je sproveo Cisco otkrila je tehnički kompleksan i veoma delotvoran način infekcije velikog broja računara ransomwareom CryptoWall.

Cloud Web Security, koji proizvodi Cisco, prati surfovanje korisnika i beleži posete sumnjivim malicioznim domenima. CWS dnevno prati milijarde zahteva web stranicama.

CWS je blokirao 90 domena, od kojih su mnogi WordPress sajtovi. Istraga je pokazala da su mnogi korisnici CWS završili na spornim domenima pošto su gledali reklame na domenima kao što su “apps.facebook.com”, “awkwardfamilyphotos.com”, “theguradian.co.uk” i “go.com” koji je u vlasništvu Diznija, ali i mnogim drugim domenima.

Klik na reklamu presumerava žrtvu na jedan od 90 malicioznih domena. Ova vrsta napada naziva se malvertajzing. Malvetrajzing je već duže vreme veliki problem sa kojim se bore oglasne mreže, koje pokušavaju da otkriju maliciozne reklame na svojim mrežama.

Dešava se povremeno da maliciozne reklame promaknu proveri, pa budu prikazane na velikom broju sajtova prijavljenih na mrežu ili partnerske mreže, pri čemu vlasnici web sajtova često ne znaju za to.

Problem sa malvertajzingom je u tome što ljudi očekuju da su ugledni sajtovi sigurni, ali na njima ima mnogo eksternih linkova, pa ovakva očekivanja nisu uvek opravdana.

90 domena sa malicioznim reklamama su hakovani, objašnjavaju iz kompanije Cisco, navodeći da su u slučaju WordPress sajtova korišćeni brute-force napadi, da bi se pristupilo kontrolnim panelima sajtova. Napadači su zatim ubacivali exploit alat Rig, koji je napadao računare posetilaca.

Rig proverava da li na računarima posetilaca ima ranjivog Flasha, Internet Explorera, Jave ili Silverlighta. Ako je nešto od ovoga nezakrpljeno, napad će biti uspešan. Rig je otkriven u aprilu ove godine.

U sledećoj fazi napada, instalira se ransomware nazvan Cryptowall, koji je srodan poznatijem malveru Cryptolocker. On šifruje fajlove korisnika i zahteva od korisnika da plati dešifrovanje. Web sajt na kome žrtva može platiti otkup za svoje zarobljene fajlove je skriveni sajt koji koristi Tor.onion domen.

Da bi korisnik pristupio takvom web sajtu, mora imati instaliran Tor, a uputstva kako to da uradi dobija od malvera Cryptowall. Za one koji oklevaju sa plaćanjem raste cena otkupa.

U kompaniji Cisco pretpostavljaju da u ovoj prevari učestvuje nekoliko grupa ili ljudi koji su specijalizovani za malvertajzing, preusmeravanje, pisanje exploita i kampanje ransomwarea.

Cryptowall je najnovija verzija malvera Cryptolocker koji je delo istih programera koji su stvorili i ransomware CryptoDefence, koji se pojavio krajem marta. Tada su stručnjaci otkrili da ovaj malver ima jednu ozbiljnu grešku, koja je rezultat previda autora koji su zaboravili ključeve za dešifrovanje sakrivene na zaraženom računaru.

Da bi ispravili grešku, autori malvera su stvorili Cryptowall, a šifrovane fajlove na sistemu nije moguće dešifrovati.

Kada je CryptoWall instaliran na sistemu, on će početi da skenira hard disk tražeći fajlove i šifrujući ih. Kada završi sa šifrovanjem, CryptoWall kreira fajlove koji sadrže uputstvo za korisnika o tome kako da plati za dešifrovanje fajlova, koje se nalazi u svakom šifrovanom folderu. Od žrtve se traži da plati 500 dolara.

Najveći broj infekcija zabeležen je u SAD, a zatim slede Velika Britanija i Australija.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Lažni dekripter za STOP Djvu Ransomware nudi se očajnim ljudima uz obećanje da će im besplatno dešifrovati fajlove. Umesto da svoje fajlove vrat... Dalje

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje