Ransomware Mole se širi preko lažnih online Word dokumenata

Opisi virusa, 13.04.2017, 08:30 AM

Ransomware Mole se širi preko lažnih online Word dokumenata

Istraživač Bred Dankan tvrdi da je otkrio novi ransomware nazvan Mole dok je analizirao novu spam kampanju. Međutim, moguće je da nije reč o sasvim novom malveru, već da je Mole još jedan ransomware iz familije CryptoMix i da ima mnogo sličnosti sa ransomwareima Revenge i CryptoShield.

Mole se trenutno širi preko spam emailova koji se predstavljaju kao obaveštenja. U emailovima se tvrdi da paket nije mogao biti isporučen, a zatim se prikazuje link za sajt gde je moguće naći dodatne informacije.

Kada korisnik klikne na link, biće preusmeren na lažni sajt Microsoft Word Online na kome se prikazuje dokument koga navodno nije moguće pročitati u browseru. Zbog toga se žrtvi sugeriše da preuzme i instalira plugin.

Ako korisnik klikne na link za preuzimanje, preuzeće fajl nazvan plugin-office.exe ili pluginoffice.exe. Ako se ovi fajlovi pokrenu, instalira se ransomware Mole.

Kada se to dogodi, Mole prikazuje lažno upozorenje koje treba da prinudi žrtvu da klikne na Yes u UAC (User Account Control) upitu tako da se ransomware pokrene sa administratorskim privilegijama.

U upozorenju stoji: "Display Color Calibration can't turn off Windows calibration management. Access is denied."

Kada korisnik klikne na OK u ovom upozorenju, biće prikazan UAC upit, sa zahtevom korisniku da odobri sledeću komandu: "C:WindowsSysWOW64wbemWMIC.exe" process call create "%UserProfile%pluginoffice.exe".

Kada žrtva klikne na Yes, ransomware se pokreće sa administratorskim privilegijama i generiše jedinstveni ID za žrtvu. Ovaj ID će biti poslat komandno-kontrolnom serveru, koji će odgovoriti RSA-1024 javnim ključem. Ovaj ključ će ransomware koristiti za šifrovanje AES enkripcijskog ključa koji se koristi za šifrovanje fajlova. Ovaj RSA ključ će biti sačuvan u fajlu %UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.

Mole isključuje Windows startup recovery i briše Windows Shadow Volume kopije.

Ransomware zatim skenira računar i traži određene fajlove koje šifruje. Kada naiđe na ciljani fajl, Mole ga šifruje koristeći AES-256 enkripciju, zatim mu menja naziv, dodajući ekstenziju .MOLE šifrovanom fajlu. Tako će novi naziv fajla test.jpg biti nešto poput 4E47636C1F31519446A78F711F4A1670.MOLE.

U svakom folderu u kome Mole šifruje fajl, on ostavlja i obaveštenje o otkupnini sa nazivom INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT.

Kada se proces enkripcije završi, Mole će prikazati obaveštenje o otkupnini. Inače, ovo je redak ransomware koji nema HTML verziju obaveštenja o otkupnini.

Obaveštenje sadrži informacije o tome šta se dogodilo fajlovima, zatim ID računara, i dve email adrese preko kojih žrtve mogu kontaktirati autora ransomwarea da bi dobile uputstvo za plaćanje.

U ovom trenutku nema besplatnog rešenja za fajlove koje je šifrovao Mole.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova verzija ransomwarea Locky šifrovanim fajlovima dodaje ekstenziju .lukitus

Nova verzija ransomwarea Locky šifrovanim fajlovima dodaje ekstenziju .lukitus

Nova verzija poznatog ransomwarea Locky koristi ekstenziju .lukitus za fajlove koje šifruje. Dakle, ako imate šifrovane fajlove sa ovom ekstenzijom,... Dalje

Nova verzija ransomwarea Cerber krade lozinke iz browsera i informacije o Bitcoin novčanicima

Nova verzija ransomwarea Cerber krade lozinke iz browsera i informacije o Bitcoin novčanicima

Ransomware Cerber je ažuriran tako da nova verzija malvera prikuplja i krade podatke sa inficiranih računara, slično kao što rade takozvani infost... Dalje

Posle uspeha ransomwarea WannaCry, dva bankarska trojanca se sada šire kao crvi

Posle uspeha ransomwarea WannaCry, dva bankarska trojanca se sada šire kao crvi

Bankarskim trojancima Emotet i Trickbot dodata je podrška za komponentu koja im obezbeđuje "samoširenje", čime se uvećavaju njihove šanse da zar... Dalje

Ransomware NemucodAES i malver Kovter se zajedno šire preko spam emailova

Ransomware NemucodAES i malver Kovter se zajedno šire preko spam emailova

Dve malvera, NemucodAES i Kovter, zapakovana zajedno u .zip fajl, isporučuju se putem spam emailova. Zajedno, ova dva malvera mogu napraviti poprili... Dalje

Malver Ovidiy Stealer prodaje se za samo 7 dolara

Malver Ovidiy Stealer prodaje se za samo 7 dolara

Stručnjaci kompanije Proofpoint otkrili su novi malver koji se može kupiti za svega 7 dolara a koji ima potencijal da ga antivirusi ne primete. Mal... Dalje