Pratite nas preko RSS-aRansomware VirLocker se vratio, zarazniji nego ikad, ali ipak ima rešenja
Opisi virusa, 02.02.2017, 01:00 AM
Ransomware VirLocker se vratio sa novom i veoma zaraznom verzijom, ali stručnjaci kompanije Malwarebytes kažu da žrtve mogu da vrate svoje fajlove unošenjem posebnog koda u polje za plaćanje.
VirLocker, koji je poznat i po nazivima VirLock ili VirRansom, je porodica ransomwarea koja je prvi put primećena 2014. godine a njen prvi naziv je bio Operation Global III.
Ransomware nikada nije bio deo masovnih spam kampanja kao što su one kojima su šireni ransomwarei TorrentLocker, CryptoLocker, TeslaCrypt, Cerber i Locky.
Za novu verziju malvera ima rešenja, i bez dekriptera. Treba uneti 64 nula u poruku o otkupnini koju prikazuje VirLocker, u odeljku "Transfer ID".
Trik je u tome da se ransomware prevari i da izgleda kao da je žrtva platila otkupninu. Ali posao korisnika ovde nije završen, zapravo, ovo je tek početak.
Proces infekcije je velikim delom sličan onom koji su koristile prve verzije, otkrivene 2014. Fajlovi sa inficiranog računara se šifruju i zatim se pakuju u exe fajlove.
Primera radi, fajl photo.png će posle šifrovanja postati photo.png.exe. S obzirom da većina Windows instalacija ne prikazuje poslednju ekstenziju, žrtve će videti photo.png, i neće znati da je u pitanju exe fajl.
Svaki od ovih exe fajlova sadrži kopiju ransomwarea VirLocker, što znači da bi korisnici mogli da rašire ransomware i nenamerno inficiraju računare svojih prijatelja. Takođe, žrtve mogu da sačuvaju kopiju VirLockera a da nisu svesni toga.
To što VirLocker kreira prave exe fajlove, dakle, ne dodaje samo lažnu .exe ekstenziju šifrovanim fajlovima, čini ga izuzetno opasnim, jer on na taj način obezbeđuje sebi lako širenje.
Kada žrtve unesu kod sa 64 nula, trebalo bi odmah da otvore svoje važne fajlove, one koje žele da sačuvaju.
Treba dva puta kliknuti na exe fajlove i tako osloboditi originalni fajl koji se nalazi unutar exe fajla. Tako će se sačuvati kopija originalnog fajla na disku. Na primer, dvostruki klik na photo.png.exe će napraviti drugi fajl nazvan photo.png, koji je ustvari originalni fajl. Međutim, treba imati na umu da kontaminirani exe fajl ostaje na disku, odmah pored originalnog.
Dakle, nema automatizovanog procesa dešifrovanja, pa žrtve treba da oslobode zarobljene fajlove same, ručno.
Kada završe sa ovim, preporuka je da se originalni fajlovi premeste na drugi disk, i da se pri tom obrati pažnja da se ne kopiraju exe fajlovi koji sadrže VirLocker ransomware. Kopiranjem nekog od inficiranih exe fajlova raširilo bi infekciju na druge računare, ili bi kasnije dovelo do ponovne infekcije računara.
Kada naprave rezervnu kopiju fajlova, korisnici bi trebalo da obrišu ceo sadržaj sa hard diska i da reinstaliraju operativni sistem.
"Ne možete više verovati nijednom fajlu na inficiranom računaru", kaže Nejtan Skot iz kompanije Malwarebytes.
Izdvojeno
Ransomware NemucodAES i malver Kovter se zajedno šire preko spam emailova
Dve malvera, NemucodAES i Kovter, zapakovana zajedno u .zip fajl, isporučuju se putem spam emailova. Zajedno, ova dva malvera mogu napraviti poprili... Dalje
Malver Ovidiy Stealer prodaje se za samo 7 dolara
Stručnjaci kompanije Proofpoint otkrili su novi malver koji se može kupiti za svega 7 dolara a koji ima potencijal da ga antivirusi ne primete. Mal... Dalje
Trojanac Magala krišom klikće na oglase u rezultatima pretrage
Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava s... Dalje
Operacija Emmental: Osim korisnika Windowsa, sada ugroženi i korisnici Mac OS X
Stručnjaci iz kompanije Trend Micro upozorili su na emailove koji isporučuju bankarske trojance i za Mac OS i za Windows. Oni veruju da iza ovih ema... Dalje
Malver koji je pre dva dana zaključao računare u Evropi nije ransomware Petya
Krivac za napad koji je u utorak paralisao sisteme velikih kompanija i državnih institucija pre svega u Evropi, ali i u ostatku sveta, možda nije ra... Dalje