Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Opisi virusa, 06.07.2018, 08:30 AM

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od njihove konfiguracije da bi na kraju odlučio koji od ova dva programa može biti profitabilniji.

Dok je ransomware vrsta malvera koji blokira računar i sprečava korisnika da pristupi šifrovanim podacima sve dok ne plati otkup za ključ potreban za dešifrovanje fajlova, majneri koriste CPU zaraženog sistema za kopanje digitalnog novca.

I ransomware i majneri su vodeće među pretnjama i iako se značajno razlikuju imaju i neke sličnosti. Obe vrste malvera se koriste u nesofisticiranim napadima, koji nisu ciljani, i obe vrste malvera na ovaj ili onaj način imaju veze sa kriptovalutama.

Međutim, zaključavanje računara sa idejom da se od žrtve iznudi otkup ne garantuje kriminalcima da će zaraditi, jer nekada žrtve nemaju ništa važno na računaru zbog čega bi bile spremne da plate. Zbog toga su se proteklih meseci sajber kriminalci okrenuli majnerima kriptovaluta kao efikasnijem načinu zarade od računara žrtava.

Istraživači Kaspersky Laba otkrili su novu verziju ransomwarea Rakhni, koji je sada nadograđen tako da može i da se bavi rudarenjem kriptovaluta.

Rakhni se širi preko spear fišing emailova koji sadrže MS fajl u prilogu koji, ukoliko se otvori, traži od žrtve da sačuva dokument i omogući editovanje.

Dokument sadrži PDF ikonu koja, ako se klikne na nju, pokreće maliciozni izvršni fajl na računaru žrtve i odmah prikazuje lažnu poruku o grešci, tako da žrtva poveruje da sistemski fajl koji je potreban za otvaranje dokumenta nedostaje.

U pozadini, malver izvršava mnoge anti-VM (virtuelna mašina) i anti-sandbox kontrole kako bi odlučio da li može zaraziti sistem a da ne bude uhvaćen. Ako su svi uslovi ispunjeni, malver obavlja još provera kako bi odlučio o tome da li će inficirati sistem majnerom ili ransomwareom:

1.) Instalira ransomware ako ciljani sistem ima folder "Bitcoin" u delu AppData. Pre šifrovanja fajlova RSA-1024 algoritmom, malver završava sve procese koji odgovaraju unapred definisanoj listi popularnih aplikacija, a zatim prikazuje poruku o otkupu.

2.) Instalira majner ako folder "Bitcoin" ne postoji i ako računar ima više od dva logička procesora. Ako se sistem inficira majnerom, on koristi program MinerGate za kopanje Monero (XMR), Monero Original (XMO) i Dashcoin (DSH) kriptovaluta u pozadini. Pored toga, malver koristi CertMgr.exe program za instaliranje lažnih root sertifikata za koje se tvrdi da su ih izdali Microsoft Corporation i Adobe Systems, sa ciljem da se prikrije majner kao pouzdani proces.

3.) Aktivira crva ako nema foldera "Bitcoin" i ako postoji samo jedan logički procesor. Ova komponenta pomaže malveru da se kopira na sve računare locirane u lokalnoj mreži pomoću deljenih resursa.

"Za svaki računar koji je naveden u fajlu trojanac proverava da li je folder Users deljen, i ako jeste, malver se kopira u folder AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup svakog dostupnog korisnika", kažu istraživači.

Bez obzira na to koja je komponenta izabrana, malver proverava da li se pokreće neki od navedenih antivirusnih procesa. Ukoliko se na sistemu ne pronađe antivirusni proces, malver će pokrenuti nekoliko cmd komandi kako bi onemogućio Windows Defender.

"Još jedna zanimljiva činjenica je da zlonamerni softver ima i neke funkcije špijunskog programa - njegove poruke uključuju listu pokrenutih procesa i prilog sa snimkom ekrana", kažu istraživači.

Ova verzija malvera cilja prvenstveno korisnike u Rusiji (95,5%), ali i u Kazahstanu (1,36%), u Ukrajini (0,57%), Nemačkoj (0,49%) i Indiji (0,41%) gde je zabeležen mali broj infekcija.

Da ne biste i vi postali deo statistike koja se odnosi na žrtve ovog malvera, nikada ne otvarajte sumnjive fajlove i linkove u emailovima. Takođe, redovno pravite rezervne kopije i ažurirajte antivirusni softver.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Istraživači iz firme Morphisec otkrili su novog trojanca u mreži neimenovane visokoškolske ustanove u SAD, za koga kažu da je aktivan od maja ove... Dalje

Lažni rezultat testa na COVID-19 krije novi ransomware

Lažni rezultat testa na COVID-19 krije novi ransomware

Istraživači Cofense Intelligencea upozorili su na novu verziju ransomwarea Hentai OniChan nazvanu „King Engine“ koja se krije u emailovi... Dalje

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Emotet je prošle nedelje promenio taktiku i sada koristi poruku Microsoft Officea u kojoj se navodi da Microsoft Word treba ažurirati da bi dobio no... Dalje

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje