Ransomware Mole se širi preko lažnih online Word dokumenata

Opisi virusa, 13.04.2017, 08:30 AM

Ransomware Mole se širi preko lažnih online Word dokumenata

Istraživač Bred Dankan tvrdi da je otkrio novi ransomware nazvan Mole dok je analizirao novu spam kampanju. Međutim, moguće je da nije reč o sasvim novom malveru, već da je Mole još jedan ransomware iz familije CryptoMix i da ima mnogo sličnosti sa ransomwareima Revenge i CryptoShield.

Mole se trenutno širi preko spam emailova koji se predstavljaju kao obaveštenja. U emailovima se tvrdi da paket nije mogao biti isporučen, a zatim se prikazuje link za sajt gde je moguće naći dodatne informacije.

Kada korisnik klikne na link, biće preusmeren na lažni sajt Microsoft Word Online na kome se prikazuje dokument koga navodno nije moguće pročitati u browseru. Zbog toga se žrtvi sugeriše da preuzme i instalira plugin.

Ako korisnik klikne na link za preuzimanje, preuzeće fajl nazvan plugin-office.exe ili pluginoffice.exe. Ako se ovi fajlovi pokrenu, instalira se ransomware Mole.

Kada se to dogodi, Mole prikazuje lažno upozorenje koje treba da prinudi žrtvu da klikne na Yes u UAC (User Account Control) upitu tako da se ransomware pokrene sa administratorskim privilegijama.

U upozorenju stoji: "Display Color Calibration can't turn off Windows calibration management. Access is denied."

Kada korisnik klikne na OK u ovom upozorenju, biće prikazan UAC upit, sa zahtevom korisniku da odobri sledeću komandu: "C:WindowsSysWOW64wbemWMIC.exe" process call create "%UserProfile%pluginoffice.exe".

Kada žrtva klikne na Yes, ransomware se pokreće sa administratorskim privilegijama i generiše jedinstveni ID za žrtvu. Ovaj ID će biti poslat komandno-kontrolnom serveru, koji će odgovoriti RSA-1024 javnim ključem. Ovaj ključ će ransomware koristiti za šifrovanje AES enkripcijskog ključa koji se koristi za šifrovanje fajlova. Ovaj RSA ključ će biti sačuvan u fajlu %UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.

Mole isključuje Windows startup recovery i briše Windows Shadow Volume kopije.

Ransomware zatim skenira računar i traži određene fajlove koje šifruje. Kada naiđe na ciljani fajl, Mole ga šifruje koristeći AES-256 enkripciju, zatim mu menja naziv, dodajući ekstenziju .MOLE šifrovanom fajlu. Tako će novi naziv fajla test.jpg biti nešto poput 4E47636C1F31519446A78F711F4A1670.MOLE.

U svakom folderu u kome Mole šifruje fajl, on ostavlja i obaveštenje o otkupnini sa nazivom INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT.

Kada se proces enkripcije završi, Mole će prikazati obaveštenje o otkupnini. Inače, ovo je redak ransomware koji nema HTML verziju obaveštenja o otkupnini.

Obaveštenje sadrži informacije o tome šta se dogodilo fajlovima, zatim ID računara, i dve email adrese preko kojih žrtve mogu kontaktirati autora ransomwarea da bi dobile uputstvo za plaćanje.

U ovom trenutku nema besplatnog rešenja za fajlove koje je šifrovao Mole.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver za macOS krije se u piratskom softveru

Novi malver za macOS krije se u piratskom softveru

Stručnjaci iz kompanije Kaspersky upozoravaju da sajber kriminalci napadaju korisnike macOS-a novim proksi trojanskim malverom koji je sakriven u pop... Dalje

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje