Ransomware Surprise inficira računar preko TeamViewera

Opisi virusa, 23.03.2016, 01:30 AM

Ransomware Surprise inficira računar preko TeamViewera

Novi ransomware nazvan Surprise inficira računare preko TeamViewera i kao i svi slični malveri šifruje fajlove na računarima dodajući svakom šifrovanom fajlu ekstenziju “.surprise”.

Za novi ransomware se saznalo kada su se prve žrtve obratile za pomoć forumu Bleeping Computera, koji je i inače mesto na koje dolaze korisnici računara koji su zaraženi različitim ransomwaerima.

Prvo što primeti korisnik računara zaraženog ransomwareom Surprise je da ne može da pristupi svojim fajlovima, a zatim će primetiti i tri nova fajla na desktopu. To su obaveštenja u kojima se korisniku objašnjava šta se dogodilo sa računarom, da su fajlovi na računaru šifrovani, i da ako želi da ih vrati u prvobitno stanje, žrtva treba da kontaktira autora malvera što može da uradi preko dve email adrese nowayout@protonmail.com i nowayout@sigaint.org.

Od žrtve se traži da plati 0,5 bitcoina (oko 200 dolara). Taj iznos bi u zavisnosti od sadržaja fajlova mogao da bude i veći, čak do 10000 dolara (25 bitcoina).

Surprise se ne razlikuje od srodnih malvera koji ovih meseci haraju internetom. Za šifrovanje fajlova Surprise koristi AES-256 algoritam, a zatim RSA-2048 da bi osigurao enkripcijske ključeve svih fajlova master ključem koji se šalje komandno-kontrolnom serveru.

Surprise šifruje 474 različitih vrsta fajlova i uklanja Volume Shadow kopije, čime onemogućava proces oporavka fajlova, osim ako korisnik nema neki eksterni backup.

Surprise je još jedan derivat EDA2 open-source ransomwarea koji je bio projekat turskog istraživača Utku Sena koji je stvarajući EDA2 imao na umu edukaciju. Međutim, projekat se oteo kontroli i mnogi su ga kriminalci iskoristili za svoje potrebe uprkos činjenici da administatorski panel ima backdoor koji je postavio Utku Sen.

Sen može pomoću backdoora da pomogne žrtvama ransomwarea koji su potekli od EDA2, ali u ovom slučaju, komando-kontrolni serveri ransomwarea Surprise su offline tako da je backdoor beskoristan. Razlog bi mogao biti to što autor malvera Surprise nije profitirao onoliko koliko je očekivao.

To znači da ransomware ne može da sačuva RSA ključ na komandno-kontrolnim serverima, ali i da žrtve koje žele da plate otkup neće moći da povrate svoje fajlove.

Ekipa sa foruma Bleeping Computer je istražujući slučajeve infekcije ovim ransomwareom, primetila da su sve žrtve imale instaliran TeamViewer, program koji omogućava povezivanje dva računara i kontrolu korisnika jednog računara nad drugim računarom. Oni su pregledali logove TeamViewera i otkrili da je neko pristupao računarima preko ovog programa, preuzimao fajl surprise.exe i zatim pokretao taj fajl.

Još uvek nije jasno kako se to dogodilo, ali postoje dva moguća objašnjenja. Jedno je 0-day propust u TeamVieweru koji je autor ransomwarea koristio da inficira računare, ali to je malo verovatno. 0-day zahteva dosta umeća i tehničkog znanja a neko ko to ima ne bi koristio backdoorovani ransomware.

Drugo objašnjenje je da je napadač pretraživao internet tragajući za dostupnim instalacijama TeamViewera i zatim koristio brute-force napad, ali su iz TeamViewera odbacili ovakvu mogućnost jer TeamViewer eksponenicijalno povećava vremenski razmak između dva pokušaja povezivanja tako da je za 24 pokušaja potrebno 17 sati.

Međutim, pošto je TeamViewer široko rasprostranjen softver, mnogi kriminalci pokušavaju da se prijave sa korisničkim imenima i lozinkama kompromitovanih naloga, pokušavajući da nađu TeamViewer naloge sa istim korisničkim imenom i lozinkom.

Korisnici se mogu zaštititi od ovakvih napada. Iz TeamViewera savetuju korisnicima da za preuzimanje programa koriste samo zvanične TeamViewer kanale za preuzimanje. Druga mera zaštite su jedinestvene i jake lozinke.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje