Ransomware Surprise inficira računar preko TeamViewera

Opisi virusa, 23.03.2016, 01:30 AM

Ransomware Surprise inficira računar preko TeamViewera

Novi ransomware nazvan Surprise inficira računare preko TeamViewera i kao i svi slični malveri šifruje fajlove na računarima dodajući svakom šifrovanom fajlu ekstenziju “.surprise”.

Za novi ransomware se saznalo kada su se prve žrtve obratile za pomoć forumu Bleeping Computera, koji je i inače mesto na koje dolaze korisnici računara koji su zaraženi različitim ransomwaerima.

Prvo što primeti korisnik računara zaraženog ransomwareom Surprise je da ne može da pristupi svojim fajlovima, a zatim će primetiti i tri nova fajla na desktopu. To su obaveštenja u kojima se korisniku objašnjava šta se dogodilo sa računarom, da su fajlovi na računaru šifrovani, i da ako želi da ih vrati u prvobitno stanje, žrtva treba da kontaktira autora malvera što može da uradi preko dve email adrese [email protected] i [email protected]

Od žrtve se traži da plati 0,5 bitcoina (oko 200 dolara). Taj iznos bi u zavisnosti od sadržaja fajlova mogao da bude i veći, čak do 10000 dolara (25 bitcoina).

Surprise se ne razlikuje od srodnih malvera koji ovih meseci haraju internetom. Za šifrovanje fajlova Surprise koristi AES-256 algoritam, a zatim RSA-2048 da bi osigurao enkripcijske ključeve svih fajlova master ključem koji se šalje komandno-kontrolnom serveru.

Surprise šifruje 474 različitih vrsta fajlova i uklanja Volume Shadow kopije, čime onemogućava proces oporavka fajlova, osim ako korisnik nema neki eksterni backup.

Surprise je još jedan derivat EDA2 open-source ransomwarea koji je bio projekat turskog istraživača Utku Sena koji je stvarajući EDA2 imao na umu edukaciju. Međutim, projekat se oteo kontroli i mnogi su ga kriminalci iskoristili za svoje potrebe uprkos činjenici da administatorski panel ima backdoor koji je postavio Utku Sen.

Sen može pomoću backdoora da pomogne žrtvama ransomwarea koji su potekli od EDA2, ali u ovom slučaju, komando-kontrolni serveri ransomwarea Surprise su offline tako da je backdoor beskoristan. Razlog bi mogao biti to što autor malvera Surprise nije profitirao onoliko koliko je očekivao.

To znači da ransomware ne može da sačuva RSA ključ na komandno-kontrolnim serverima, ali i da žrtve koje žele da plate otkup neće moći da povrate svoje fajlove.

Ekipa sa foruma Bleeping Computer je istražujući slučajeve infekcije ovim ransomwareom, primetila da su sve žrtve imale instaliran TeamViewer, program koji omogućava povezivanje dva računara i kontrolu korisnika jednog računara nad drugim računarom. Oni su pregledali logove TeamViewera i otkrili da je neko pristupao računarima preko ovog programa, preuzimao fajl surprise.exe i zatim pokretao taj fajl.

Još uvek nije jasno kako se to dogodilo, ali postoje dva moguća objašnjenja. Jedno je 0-day propust u TeamVieweru koji je autor ransomwarea koristio da inficira računare, ali to je malo verovatno. 0-day zahteva dosta umeća i tehničkog znanja a neko ko to ima ne bi koristio backdoorovani ransomware.

Drugo objašnjenje je da je napadač pretraživao internet tragajući za dostupnim instalacijama TeamViewera i zatim koristio brute-force napad, ali su iz TeamViewera odbacili ovakvu mogućnost jer TeamViewer eksponenicijalno povećava vremenski razmak između dva pokušaja povezivanja tako da je za 24 pokušaja potrebno 17 sati.

Međutim, pošto je TeamViewer široko rasprostranjen softver, mnogi kriminalci pokušavaju da se prijave sa korisničkim imenima i lozinkama kompromitovanih naloga, pokušavajući da nađu TeamViewer naloge sa istim korisničkim imenom i lozinkom.

Korisnici se mogu zaštititi od ovakvih napada. Iz TeamViewera savetuju korisnicima da za preuzimanje programa koriste samo zvanične TeamViewer kanale za preuzimanje. Druga mera zaštite su jedinestvene i jake lozinke.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje