Ransomware Mole se širi preko lažnih online Word dokumenata

Opisi virusa, 13.04.2017, 08:30 AM

Ransomware Mole se širi preko lažnih online Word dokumenata

Istraživač Bred Dankan tvrdi da je otkrio novi ransomware nazvan Mole dok je analizirao novu spam kampanju. Međutim, moguće je da nije reč o sasvim novom malveru, već da je Mole još jedan ransomware iz familije CryptoMix i da ima mnogo sličnosti sa ransomwareima Revenge i CryptoShield.

Mole se trenutno širi preko spam emailova koji se predstavljaju kao obaveštenja. U emailovima se tvrdi da paket nije mogao biti isporučen, a zatim se prikazuje link za sajt gde je moguće naći dodatne informacije.

Kada korisnik klikne na link, biće preusmeren na lažni sajt Microsoft Word Online na kome se prikazuje dokument koga navodno nije moguće pročitati u browseru. Zbog toga se žrtvi sugeriše da preuzme i instalira plugin.

Ako korisnik klikne na link za preuzimanje, preuzeće fajl nazvan plugin-office.exe ili pluginoffice.exe. Ako se ovi fajlovi pokrenu, instalira se ransomware Mole.

Kada se to dogodi, Mole prikazuje lažno upozorenje koje treba da prinudi žrtvu da klikne na Yes u UAC (User Account Control) upitu tako da se ransomware pokrene sa administratorskim privilegijama.

U upozorenju stoji: "Display Color Calibration can't turn off Windows calibration management. Access is denied."

Kada korisnik klikne na OK u ovom upozorenju, biće prikazan UAC upit, sa zahtevom korisniku da odobri sledeću komandu: "C:WindowsSysWOW64wbemWMIC.exe" process call create "%UserProfile%pluginoffice.exe".

Kada žrtva klikne na Yes, ransomware se pokreće sa administratorskim privilegijama i generiše jedinstveni ID za žrtvu. Ovaj ID će biti poslat komandno-kontrolnom serveru, koji će odgovoriti RSA-1024 javnim ključem. Ovaj ključ će ransomware koristiti za šifrovanje AES enkripcijskog ključa koji se koristi za šifrovanje fajlova. Ovaj RSA ključ će biti sačuvan u fajlu %UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.

Mole isključuje Windows startup recovery i briše Windows Shadow Volume kopije.

Ransomware zatim skenira računar i traži određene fajlove koje šifruje. Kada naiđe na ciljani fajl, Mole ga šifruje koristeći AES-256 enkripciju, zatim mu menja naziv, dodajući ekstenziju .MOLE šifrovanom fajlu. Tako će novi naziv fajla test.jpg biti nešto poput 4E47636C1F31519446A78F711F4A1670.MOLE.

U svakom folderu u kome Mole šifruje fajl, on ostavlja i obaveštenje o otkupnini sa nazivom INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT.

Kada se proces enkripcije završi, Mole će prikazati obaveštenje o otkupnini. Inače, ovo je redak ransomware koji nema HTML verziju obaveštenja o otkupnini.

Obaveštenje sadrži informacije o tome šta se dogodilo fajlovima, zatim ID računara, i dve email adrese preko kojih žrtve mogu kontaktirati autora ransomwarea da bi dobile uputstvo za plaćanje.

U ovom trenutku nema besplatnog rešenja za fajlove koje je šifrovao Mole.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje