Ransomware Petya se vratio kao ransomware GoldenEye

Opisi virusa, 08.12.2016, 11:30 AM

Ransomware Petya se vratio kao ransomware GoldenEye

Combo ransomware Petya-Misha se vratio sa novom verzijom i sa novim imenom - GoldenEye Ransomware.

Novi ransomware je skoro identičan prethodnim verzijama ransomwarea Petya i Misha.

On se trenutno širi preko spam emailova, i kako izgleda, za sada cilja samo korisnike sa nemačkog govornog područja.

Emailovi su na nemačkom i u njima su dva priloga, jedan PDF fajl i jedna Excel tabela. PDF fajl je lažna biografija, očigledno namenjena kadrovskim službama koja treba da uveri primaoca emaila da je email legitiman.

Excel fajl je installer za ransomware GoldenEye koji sadrži maliciozni macro koji instalira ransomware.

Nazivi Excel fajlova nisu isti u svim spam emailovima.

Kada potencijalna žrtva klikne na dugme Enable Content, započeće proces instalacije GoldenEye ransomwarea.

Način rada novog ransomwarea je nešto drugačiji od onoga kako su Petya i Misha funkcionisali. U infekcijama Petya/Misha ransomwareom, ako Petya nije mogao da dobije administratorska prava da bi izmenio MBR, u akciju bi stupao Misha koji bi šifrovao fajlove. GoldenEye najpre šifruje fajlove na računaru a zatim pokušava da instalira MBR bootkit da bi šifrovao MFT diska.

GoldenEye šifruje fajlove kao i svaki drugi ransomware, i svakom šifrovanom fajlu dodaje ekstenziju koja se sastoji od osam nasumično izabranih karaktera.

GoldenEye menja i MBR (Master Boot Record) hard diska svojim boot loaderom.

Kada se to završi, ransomware pokazuje poruku o otkupnini. Naziv tog .txt fajla je YOUR_FILES_ARE_ENCRYPTED.TXT.

To je ono što radi Misha, deo Petya-Misha combo ransomwarea. Misha, dakle, šifruje fajlove, a Petya zaključava hard disk.

Kada prikaže poruku o otkupnini, u akciju stupa Petya. Ovo se dešava kada ransomware restartuje računar posle čega započinje šifrovanje MFT (Master File Table) hard diska, što će u potpunosti onemogućiti pristup bilo kom fajlu sa hard diska.

Proces enkripcije MFT je maskiran lažnim chkdsk ekranom.

Po završetku tog procesa, vide se mnogo očiglednije promene u odnosu na ranije infekcije Petya-Misha ransomwareima. Jedna od njih je novi ekran sa obaveštenjem o infekciji.

Ranije je Petya prikazivao crveni tekst, koji je promenjen u zeleni kada je dodat Misha. Sada je tekst žute boje.

Korisnici koji žele da vrate fajlove moraju da plate 1,33284506 bitcoina, što je oko 1000 dolara.

Iako se GoldenEye predstavlja kao potpuno novi ransomware, njegov način rada, poruka o otkupnini ali i ostalo govore da je reč o malo izmenjenoj kombinaciji Petya-Misha ransomwarea.

Petya se prvi put pojavio u martu 2016., a njegova prva verzija je samo šifrovala MBR i MFT. Zbog toga što je to dovodilo do grešaka koje su zaustavljale proces enkripcije i zato što je zahtevalo administratorske privilegije da bi se proces odvijao kako treba, u maju je autor ransomwarea dodao komponentu Misha za šifrovanje fajlova, koji šifruje fajlove na "klasičan" način, u slučaju ako Petya zakaže.

Iza ovih ransomwarea stoji sajber kriminalac Janus, koji je do oktobra ove godine na svom sajtu Janus Cybercrime nudio Petya i Misha ransomwaree u kombinaciji kao RaaS (Ransomware as a Service).

Janus je poznat i po tome što je u julu ove godine sabotirao jednog od svojih konkrenata tako što je objavio ključeve za dešifrovanje za ransomware Chimera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje