Ransomware VirLocker se vratio, zarazniji nego ikad, ali ipak ima rešenja

Opisi virusa, 02.02.2017, 01:00 AM

Ransomware VirLocker se vratio, zarazniji nego ikad, ali ipak ima rešenja

Ransomware VirLocker se vratio sa novom i veoma zaraznom verzijom, ali stručnjaci kompanije Malwarebytes kažu da žrtve mogu da vrate svoje fajlove unošenjem posebnog koda u polje za plaćanje.

VirLocker, koji je poznat i po nazivima VirLock ili VirRansom, je porodica ransomwarea koja je prvi put primećena 2014. godine a njen prvi naziv je bio Operation Global III.

Ransomware nikada nije bio deo masovnih spam kampanja kao što su one kojima su šireni ransomwarei TorrentLocker, CryptoLocker, TeslaCrypt, Cerber i Locky.

Za novu verziju malvera ima rešenja, i bez dekriptera. Treba uneti 64 nula u poruku o otkupnini koju prikazuje VirLocker, u odeljku "Transfer ID".

Trik je u tome da se ransomware prevari i da izgleda kao da je žrtva platila otkupninu. Ali posao korisnika ovde nije završen, zapravo, ovo je tek početak.

Proces infekcije je velikim delom sličan onom koji su koristile prve verzije, otkrivene 2014. Fajlovi sa inficiranog računara se šifruju i zatim se pakuju u exe fajlove.

Primera radi, fajl photo.png će posle šifrovanja postati photo.png.exe. S obzirom da većina Windows instalacija ne prikazuje poslednju ekstenziju, žrtve će videti photo.png, i neće znati da je u pitanju exe fajl.

Svaki od ovih exe fajlova sadrži kopiju ransomwarea VirLocker, što znači da bi korisnici mogli da rašire ransomware i nenamerno inficiraju računare svojih prijatelja. Takođe, žrtve mogu da sačuvaju kopiju VirLockera a da nisu svesni toga.

To što VirLocker kreira prave exe fajlove, dakle, ne dodaje samo lažnu .exe ekstenziju šifrovanim fajlovima, čini ga izuzetno opasnim, jer on na taj način obezbeđuje sebi lako širenje.

Kada žrtve unesu kod sa 64 nula, trebalo bi odmah da otvore svoje važne fajlove, one koje žele da sačuvaju.

Treba dva puta kliknuti na exe fajlove i tako osloboditi originalni fajl koji se nalazi unutar exe fajla. Tako će se sačuvati kopija originalnog fajla na disku. Na primer, dvostruki klik na photo.png.exe će napraviti drugi fajl nazvan photo.png, koji je ustvari originalni fajl. Međutim, treba imati na umu da kontaminirani exe fajl ostaje na disku, odmah pored originalnog.

Dakle, nema automatizovanog procesa dešifrovanja, pa žrtve treba da oslobode zarobljene fajlove same, ručno.

Kada završe sa ovim, preporuka je da se originalni fajlovi premeste na drugi disk, i da se pri tom obrati pažnja da se ne kopiraju exe fajlovi koji sadrže VirLocker ransomware. Kopiranjem nekog od inficiranih exe fajlova raširilo bi infekciju na druge računare, ili bi kasnije dovelo do ponovne infekcije računara.

Kada naprave rezervnu kopiju fajlova, korisnici bi trebalo da obrišu ceo sadržaj sa hard diska i da reinstaliraju operativni sistem.

"Ne možete više verovati nijednom fajlu na inficiranom računaru", kaže Nejtan Skot iz kompanije Malwarebytes.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje