Ransomware TeslaCrypt: nove verzije, novi način širenja, za sada nema alata za dešifrovanje fajlova

Opisi virusa, 25.04.2016, 01:00 AM

Ransomware TeslaCrypt: nove verzije, novi način širenja, za sada nema alata za dešifrovanje fajlova

Ransomware TeslaCrypt otkriven je početkom prošle godine, a ubrzo posle toga pojavio se i alat za dešifrovanje fajlova koje je šifrovao ovaj malver.

TeslaCrypt je od tada došao do verzija 4.0 i 4.1, ali nažalost, trenutno je nemoguće dešifrovati šifrovane fajlove ako žrtve nisu spremne da kriminalcima plate otkup.

Jedna od novina je to što malver više ne koristi ekstenziju za šifrovane fajlove, zbog čega je žrtvama teže da otkriju koji je ransomware u pitanju. U tome može da im pomogne ID Ransomware.

Druga novina je to što se TeslaCrypt ne širi više samo preko exploit alata, već i preko spam emailova.

Najnoviji pokušaj širenja ransomwarea primetili su stručnjaci firme Endgame. Spam emailovi sadrže potvrdu o dostavi paketa. ZIP fajlovi u ovim spam emailovima zapravo sadrže JavaScript fajl koji je downloader koji preuzima payload, u ovom slučaju TeslaCrypt.

Kada se ZIP fajl otvori dolazi do infekcije računara.

Tokom procesa enkripcije, malver generiše javni ključ baziran na šifrovanom privatnom ključu. Malver šifruje sve fajlove koji imaju odgovarajuće ekstenzije. Kada završi sa tim, malver prikazuje poruku o otkupu u formi teksta, slike i web stranice. Malver zatim kontaktira server za komandu i kontrolu da bi ga obavestio o novoj žrtvi.

Kada se pojavila najnovija verzija malvera, TeslaCrypt 4.1A, većina antivirusa je nije detektovala.

Stručnjaci kažu da ovakve spam kampanje imaju mali procent zaraženih računara, ali su veoma isplatljive zbog toga što se emailovi šalju na veliki broj email adresa.

“Pored toga, skraćeni vremenski intervali između verzija (malvera) odražavju trendove kod ransomwarea u prethodnih 6 do 12 meseci. Brzina ažuriranja između širenja verzija se smanjuje, dok sofisticiranost raste. Ovo otežava reverzni inženjering malvera, uključujući i tehnike obmane kao što je dovođenje istraživača u zabludu da se koristi RSA-4096 enkripcija iako se koristi AES-256", kažu iz firme Endgame.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje