Ransomware Mole se širi preko lažnih online Word dokumenata

Opisi virusa, 13.04.2017, 08:30 AM

Ransomware Mole se širi preko lažnih online Word dokumenata

Istraživač Bred Dankan tvrdi da je otkrio novi ransomware nazvan Mole dok je analizirao novu spam kampanju. Međutim, moguće je da nije reč o sasvim novom malveru, već da je Mole još jedan ransomware iz familije CryptoMix i da ima mnogo sličnosti sa ransomwareima Revenge i CryptoShield.

Mole se trenutno širi preko spam emailova koji se predstavljaju kao obaveštenja. U emailovima se tvrdi da paket nije mogao biti isporučen, a zatim se prikazuje link za sajt gde je moguće naći dodatne informacije.

Kada korisnik klikne na link, biće preusmeren na lažni sajt Microsoft Word Online na kome se prikazuje dokument koga navodno nije moguće pročitati u browseru. Zbog toga se žrtvi sugeriše da preuzme i instalira plugin.

Ako korisnik klikne na link za preuzimanje, preuzeće fajl nazvan plugin-office.exe ili pluginoffice.exe. Ako se ovi fajlovi pokrenu, instalira se ransomware Mole.

Kada se to dogodi, Mole prikazuje lažno upozorenje koje treba da prinudi žrtvu da klikne na Yes u UAC (User Account Control) upitu tako da se ransomware pokrene sa administratorskim privilegijama.

U upozorenju stoji: "Display Color Calibration can't turn off Windows calibration management. Access is denied."

Kada korisnik klikne na OK u ovom upozorenju, biće prikazan UAC upit, sa zahtevom korisniku da odobri sledeću komandu: "C:WindowsSysWOW64wbemWMIC.exe" process call create "%UserProfile%pluginoffice.exe".

Kada žrtva klikne na Yes, ransomware se pokreće sa administratorskim privilegijama i generiše jedinstveni ID za žrtvu. Ovaj ID će biti poslat komandno-kontrolnom serveru, koji će odgovoriti RSA-1024 javnim ključem. Ovaj ključ će ransomware koristiti za šifrovanje AES enkripcijskog ključa koji se koristi za šifrovanje fajlova. Ovaj RSA ključ će biti sačuvan u fajlu %UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.

Mole isključuje Windows startup recovery i briše Windows Shadow Volume kopije.

Ransomware zatim skenira računar i traži određene fajlove koje šifruje. Kada naiđe na ciljani fajl, Mole ga šifruje koristeći AES-256 enkripciju, zatim mu menja naziv, dodajući ekstenziju .MOLE šifrovanom fajlu. Tako će novi naziv fajla test.jpg biti nešto poput 4E47636C1F31519446A78F711F4A1670.MOLE.

U svakom folderu u kome Mole šifruje fajl, on ostavlja i obaveštenje o otkupnini sa nazivom INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT.

Kada se proces enkripcije završi, Mole će prikazati obaveštenje o otkupnini. Inače, ovo je redak ransomware koji nema HTML verziju obaveštenja o otkupnini.

Obaveštenje sadrži informacije o tome šta se dogodilo fajlovima, zatim ID računara, i dve email adrese preko kojih žrtve mogu kontaktirati autora ransomwarea da bi dobile uputstvo za plaćanje.

U ovom trenutku nema besplatnog rešenja za fajlove koje je šifrovao Mole.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci koji šire malver Necurs sada snimaju ekrane žrtava

Sajber kriminalci koji šire malver Necurs sada snimaju ekrane žrtava

Poznati malver Necurs je prošao kroz promene koje su privukle pažnju stručnjaka kompanije Symantec. Necurs je ime malvera ali i bot mreže računar... Dalje

Novi malver za pljačku bankomata prodaje se na Dark Webu

Novi malver za pljačku bankomata prodaje se na Dark Webu

Hakovanje bankomata nikad nije bilo lakše. Da bi hakovali bankomate sajber kriminalci obično iskorišćavaju propuste u hardveru i softveru tako da ... Dalje

Sajber kriminalci koriste ''jeftini'' malver za ciljane napade

Sajber kriminalci koriste ''jeftini'' malver za ciljane napade

Nešto se promenilo u pristupu sajber kriminalaca kada su u pitanju ciljani sajber napadi - umesto da investiraju u 0-day exploite i razvijaju sopstve... Dalje

Novi ransomware traži od žrtava njihove golišave fotografije

Novi ransomware traži  od žrtava njihove golišave fotografije

nRansomware je novi malver koga je otkrio istraživač iz MalwareHunterTeama, koji je objavio snimak ekrana sa zahtevom ransomwarea koji od žrtava ne... Dalje

Raste broj infekcija malvera Faceliker koji ''lajkuje'' na Facebooku

Raste broj infekcija malvera Faceliker koji ''lajkuje'' na Facebooku

Kompanija McAfee upozorila je na iznenadan porast detekcija malvera Faceliker koji može da preuzme kontrolu nad browserom i manipuliše Facebook "laj... Dalje