Ransomware VirLocker se vratio, zarazniji nego ikad, ali ipak ima rešenja
Opisi virusa, 02.02.2017, 01:00 AM
Ransomware VirLocker se vratio sa novom i veoma zaraznom verzijom, ali stručnjaci kompanije Malwarebytes kažu da žrtve mogu da vrate svoje fajlove unošenjem posebnog koda u polje za plaćanje.
VirLocker, koji je poznat i po nazivima VirLock ili VirRansom, je porodica ransomwarea koja je prvi put primećena 2014. godine a njen prvi naziv je bio Operation Global III.
Ransomware nikada nije bio deo masovnih spam kampanja kao što su one kojima su šireni ransomwarei TorrentLocker, CryptoLocker, TeslaCrypt, Cerber i Locky.
Za novu verziju malvera ima rešenja, i bez dekriptera. Treba uneti 64 nula u poruku o otkupnini koju prikazuje VirLocker, u odeljku "Transfer ID".
Trik je u tome da se ransomware prevari i da izgleda kao da je žrtva platila otkupninu. Ali posao korisnika ovde nije završen, zapravo, ovo je tek početak.
Proces infekcije je velikim delom sličan onom koji su koristile prve verzije, otkrivene 2014. Fajlovi sa inficiranog računara se šifruju i zatim se pakuju u exe fajlove.
Primera radi, fajl photo.png će posle šifrovanja postati photo.png.exe. S obzirom da većina Windows instalacija ne prikazuje poslednju ekstenziju, žrtve će videti photo.png, i neće znati da je u pitanju exe fajl.
Svaki od ovih exe fajlova sadrži kopiju ransomwarea VirLocker, što znači da bi korisnici mogli da rašire ransomware i nenamerno inficiraju računare svojih prijatelja. Takođe, žrtve mogu da sačuvaju kopiju VirLockera a da nisu svesni toga.
To što VirLocker kreira prave exe fajlove, dakle, ne dodaje samo lažnu .exe ekstenziju šifrovanim fajlovima, čini ga izuzetno opasnim, jer on na taj način obezbeđuje sebi lako širenje.
Kada žrtve unesu kod sa 64 nula, trebalo bi odmah da otvore svoje važne fajlove, one koje žele da sačuvaju.
Treba dva puta kliknuti na exe fajlove i tako osloboditi originalni fajl koji se nalazi unutar exe fajla. Tako će se sačuvati kopija originalnog fajla na disku. Na primer, dvostruki klik na photo.png.exe će napraviti drugi fajl nazvan photo.png, koji je ustvari originalni fajl. Međutim, treba imati na umu da kontaminirani exe fajl ostaje na disku, odmah pored originalnog.
Dakle, nema automatizovanog procesa dešifrovanja, pa žrtve treba da oslobode zarobljene fajlove same, ručno.
Kada završe sa ovim, preporuka je da se originalni fajlovi premeste na drugi disk, i da se pri tom obrati pažnja da se ne kopiraju exe fajlovi koji sadrže VirLocker ransomware. Kopiranjem nekog od inficiranih exe fajlova raširilo bi infekciju na druge računare, ili bi kasnije dovelo do ponovne infekcije računara.
Kada naprave rezervnu kopiju fajlova, korisnici bi trebalo da obrišu ceo sadržaj sa hard diska i da reinstaliraju operativni sistem.
"Ne možete više verovati nijednom fajlu na inficiranom računaru", kaže Nejtan Skot iz kompanije Malwarebytes.
Izdvojeno
Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja
Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje
Malver TodoSwift inficira macOS maskiran u PDF aplikaciju
Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje
Novi malver Banshee Stealer krade podatke sa macOS računara
Kompanija za sajber bezbednost Elastic objavila je da su njeni istraživači otkrili novi malver za krađu informacija pod nazivom Banshee Stealer koj... Dalje
''Nevidiljivi'' malver krade lozinke i podatke sa kreditnih kartica
Analitičari malvera iz kompanije Barracuda Networks otkrili su novi sofisticirani phishing napad koji uključuje "nevidljivi" malver za krađu inform... Dalje
U toku je operacija čišćenja hiljade računara od malvera PlugX
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Pratite nas
Nagrade