Ransomware Surprise inficira računar preko TeamViewera

Opisi virusa, 23.03.2016, 01:30 AM

Ransomware Surprise inficira računar preko TeamViewera

Novi ransomware nazvan Surprise inficira računare preko TeamViewera i kao i svi slični malveri šifruje fajlove na računarima dodajući svakom šifrovanom fajlu ekstenziju “.surprise”.

Za novi ransomware se saznalo kada su se prve žrtve obratile za pomoć forumu Bleeping Computera, koji je i inače mesto na koje dolaze korisnici računara koji su zaraženi različitim ransomwaerima.

Prvo što primeti korisnik računara zaraženog ransomwareom Surprise je da ne može da pristupi svojim fajlovima, a zatim će primetiti i tri nova fajla na desktopu. To su obaveštenja u kojima se korisniku objašnjava šta se dogodilo sa računarom, da su fajlovi na računaru šifrovani, i da ako želi da ih vrati u prvobitno stanje, žrtva treba da kontaktira autora malvera što može da uradi preko dve email adrese nowayout@protonmail.com i nowayout@sigaint.org.

Od žrtve se traži da plati 0,5 bitcoina (oko 200 dolara). Taj iznos bi u zavisnosti od sadržaja fajlova mogao da bude i veći, čak do 10000 dolara (25 bitcoina).

Surprise se ne razlikuje od srodnih malvera koji ovih meseci haraju internetom. Za šifrovanje fajlova Surprise koristi AES-256 algoritam, a zatim RSA-2048 da bi osigurao enkripcijske ključeve svih fajlova master ključem koji se šalje komandno-kontrolnom serveru.

Surprise šifruje 474 različitih vrsta fajlova i uklanja Volume Shadow kopije, čime onemogućava proces oporavka fajlova, osim ako korisnik nema neki eksterni backup.

Surprise je još jedan derivat EDA2 open-source ransomwarea koji je bio projekat turskog istraživača Utku Sena koji je stvarajući EDA2 imao na umu edukaciju. Međutim, projekat se oteo kontroli i mnogi su ga kriminalci iskoristili za svoje potrebe uprkos činjenici da administatorski panel ima backdoor koji je postavio Utku Sen.

Sen može pomoću backdoora da pomogne žrtvama ransomwarea koji su potekli od EDA2, ali u ovom slučaju, komando-kontrolni serveri ransomwarea Surprise su offline tako da je backdoor beskoristan. Razlog bi mogao biti to što autor malvera Surprise nije profitirao onoliko koliko je očekivao.

To znači da ransomware ne može da sačuva RSA ključ na komandno-kontrolnim serverima, ali i da žrtve koje žele da plate otkup neće moći da povrate svoje fajlove.

Ekipa sa foruma Bleeping Computer je istražujući slučajeve infekcije ovim ransomwareom, primetila da su sve žrtve imale instaliran TeamViewer, program koji omogućava povezivanje dva računara i kontrolu korisnika jednog računara nad drugim računarom. Oni su pregledali logove TeamViewera i otkrili da je neko pristupao računarima preko ovog programa, preuzimao fajl surprise.exe i zatim pokretao taj fajl.

Još uvek nije jasno kako se to dogodilo, ali postoje dva moguća objašnjenja. Jedno je 0-day propust u TeamVieweru koji je autor ransomwarea koristio da inficira računare, ali to je malo verovatno. 0-day zahteva dosta umeća i tehničkog znanja a neko ko to ima ne bi koristio backdoorovani ransomware.

Drugo objašnjenje je da je napadač pretraživao internet tragajući za dostupnim instalacijama TeamViewera i zatim koristio brute-force napad, ali su iz TeamViewera odbacili ovakvu mogućnost jer TeamViewer eksponenicijalno povećava vremenski razmak između dva pokušaja povezivanja tako da je za 24 pokušaja potrebno 17 sati.

Međutim, pošto je TeamViewer široko rasprostranjen softver, mnogi kriminalci pokušavaju da se prijave sa korisničkim imenima i lozinkama kompromitovanih naloga, pokušavajući da nađu TeamViewer naloge sa istim korisničkim imenom i lozinkom.

Korisnici se mogu zaštititi od ovakvih napada. Iz TeamViewera savetuju korisnicima da za preuzimanje programa koriste samo zvanične TeamViewer kanale za preuzimanje. Druga mera zaštite su jedinestvene i jake lozinke.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje