Ransomware Mole se širi preko lažnih online Word dokumenata

Opisi virusa, 13.04.2017, 08:30 AM

Ransomware Mole se širi preko lažnih online Word dokumenata

Istraživač Bred Dankan tvrdi da je otkrio novi ransomware nazvan Mole dok je analizirao novu spam kampanju. Međutim, moguće je da nije reč o sasvim novom malveru, već da je Mole još jedan ransomware iz familije CryptoMix i da ima mnogo sličnosti sa ransomwareima Revenge i CryptoShield.

Mole se trenutno širi preko spam emailova koji se predstavljaju kao obaveštenja. U emailovima se tvrdi da paket nije mogao biti isporučen, a zatim se prikazuje link za sajt gde je moguće naći dodatne informacije.

Kada korisnik klikne na link, biće preusmeren na lažni sajt Microsoft Word Online na kome se prikazuje dokument koga navodno nije moguće pročitati u browseru. Zbog toga se žrtvi sugeriše da preuzme i instalira plugin.

Ako korisnik klikne na link za preuzimanje, preuzeće fajl nazvan plugin-office.exe ili pluginoffice.exe. Ako se ovi fajlovi pokrenu, instalira se ransomware Mole.

Kada se to dogodi, Mole prikazuje lažno upozorenje koje treba da prinudi žrtvu da klikne na Yes u UAC (User Account Control) upitu tako da se ransomware pokrene sa administratorskim privilegijama.

U upozorenju stoji: "Display Color Calibration can't turn off Windows calibration management. Access is denied."

Kada korisnik klikne na OK u ovom upozorenju, biće prikazan UAC upit, sa zahtevom korisniku da odobri sledeću komandu: "C:WindowsSysWOW64wbemWMIC.exe" process call create "%UserProfile%pluginoffice.exe".

Kada žrtva klikne na Yes, ransomware se pokreće sa administratorskim privilegijama i generiše jedinstveni ID za žrtvu. Ovaj ID će biti poslat komandno-kontrolnom serveru, koji će odgovoriti RSA-1024 javnim ključem. Ovaj ključ će ransomware koristiti za šifrovanje AES enkripcijskog ključa koji se koristi za šifrovanje fajlova. Ovaj RSA ključ će biti sačuvan u fajlu %UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.

Mole isključuje Windows startup recovery i briše Windows Shadow Volume kopije.

Ransomware zatim skenira računar i traži određene fajlove koje šifruje. Kada naiđe na ciljani fajl, Mole ga šifruje koristeći AES-256 enkripciju, zatim mu menja naziv, dodajući ekstenziju .MOLE šifrovanom fajlu. Tako će novi naziv fajla test.jpg biti nešto poput 4E47636C1F31519446A78F711F4A1670.MOLE.

U svakom folderu u kome Mole šifruje fajl, on ostavlja i obaveštenje o otkupnini sa nazivom INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT.

Kada se proces enkripcije završi, Mole će prikazati obaveštenje o otkupnini. Inače, ovo je redak ransomware koji nema HTML verziju obaveštenja o otkupnini.

Obaveštenje sadrži informacije o tome šta se dogodilo fajlovima, zatim ID računara, i dve email adrese preko kojih žrtve mogu kontaktirati autora ransomwarea da bi dobile uputstvo za plaćanje.

U ovom trenutku nema besplatnog rešenja za fajlove koje je šifrovao Mole.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje