Ransomware Locker mirovao na zaraženim računarima do 25. maja kada je počeo da šifruje fajlove

Opisi virusa, 29.05.2015, 01:30 AM

Ransomware Locker mirovao na zaraženim računarima do 25. maja kada je počeo da šifruje fajlove

Novi ransomware nazvan Locker nakon infekcije računara nalazio se u stanju mirovanja, da bi se aktivirao u trenutku koji su definisali napadači.

Ovakav pristup je novina kada je reč o ovoj vrsti malvera. Nije jasno zbog čega su napadači odložili šifrovanje fajlova na zaraženim računarima.

Jedno od mogućih objašnjenja je da je ransomware distribuiran pre nego što je postavljena infrastruktura za čuvanje ključeva za dešifrovanje fajlova i njihovo isporučivanje žrtvama koje su platile otkup.

Na ovaj način, kriminalci otežavaju da se sazna kada je i kako došlo do infekcije, a do nje može doći preko spam emailova koji vode do malicioznih web sajtova na kojima se nalazi Locker ili u drive-by napadima koji se oslanjaju na maliciozno oglašavanje i kompromitovane web sajtove.

Šifrovanje fajlova na računarima zaraženim ransomwareom Locker počelo je 25. maja u ponoć, po lokalnom vremenu.

Za razliku od drugih sličnih pretnji, Locker ne menja ekstenzije šiforvanih fajlova. Zbog toga je jedini način da se utvrdi da li je fajl šifrovan da se pokuša otvaranje fajla, kada će u slučaju da je fajl šifrovan, korisnik biti obavešten da je fajl oštećen ili da neupotrebljiv.

Pošto šifruje fajlove, Locker briše kopije koje pravi Windows Shadow Copy servis, ali samo na C:\. To ukazuje da napadači ciljaju na najvažnije podatke s obzirom da je uobičajena praksa korisnika da važne fajlove čuvaju na sistemskom disku.

To takođe znači da se fajlovi na svim drugim particijama mogu povratiti. Osim toga, brisanje shadow volume kopija nije uvek uspešno i podaci mogu biti vraćeni uz pomoć specijalnog softvera.

Posle šifrovanja podataka, a to su uglavnom dokumenti i slike, prikazuje se interfejs malvera Locker. Pored naziva malvera nalazi se i broj verzije malvera koji je izabran nasumično. Tako se mogu videti verzije malvera Locker v1.7, Locker v3.5.3, Locker V2.16 i Locker V5.52. Oznaka verzije izgleda da nema bilo kakav značaj. Locker prikazuje upustvo o tome kako platiti otkup, koja je jedinstvena bitcoin adresa na koju treba poslati 0,1 bitcoina (24 dolara) u zamenu za ključ za dešifrovanje koji se čuva na serveru sakrivenom na Tor anonimnoj mreži, zatim, spisak šifrovanih fajlova i stranicu na kojoj korisnik može proveriti status uplate.

Ransomware takođe prikazuje zastrašujuće upozorenje na dnu interfejsa da svaki pokupaj otklanjanja štete ili ispitivanja softvera Locker će dovesti do uništavanja ključa za dešifrovanje fajlova na serveru. Ipak, razloga za brigu nema, jer je ovo samo pokušaj kriminalaca da zastraše žrtve.

Krajnji rok za plaćanje bio je 28 maj. U obaveštenju o otkupu se tvrdi da će ključevi za dešifrovanje posle ovog datuma biti uništeni, što znači da podatke više nije moguće vratiti u prvobitno stanje.

Oni koji se odluče za plaćanje, što bi trebalo izbeći ako je moguće, posle plaćanja mogu da preuzmu ključ za dešifrovanje i automatski dešifruju svoje fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje