Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Opisi virusa, 06.07.2018, 08:30 AM

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od njihove konfiguracije da bi na kraju odlučio koji od ova dva programa može biti profitabilniji.

Dok je ransomware vrsta malvera koji blokira računar i sprečava korisnika da pristupi šifrovanim podacima sve dok ne plati otkup za ključ potreban za dešifrovanje fajlova, majneri koriste CPU zaraženog sistema za kopanje digitalnog novca.

I ransomware i majneri su vodeće među pretnjama i iako se značajno razlikuju imaju i neke sličnosti. Obe vrste malvera se koriste u nesofisticiranim napadima, koji nisu ciljani, i obe vrste malvera na ovaj ili onaj način imaju veze sa kriptovalutama.

Međutim, zaključavanje računara sa idejom da se od žrtve iznudi otkup ne garantuje kriminalcima da će zaraditi, jer nekada žrtve nemaju ništa važno na računaru zbog čega bi bile spremne da plate. Zbog toga su se proteklih meseci sajber kriminalci okrenuli majnerima kriptovaluta kao efikasnijem načinu zarade od računara žrtava.

Istraživači Kaspersky Laba otkrili su novu verziju ransomwarea Rakhni, koji je sada nadograđen tako da može i da se bavi rudarenjem kriptovaluta.

Rakhni se širi preko spear fišing emailova koji sadrže MS fajl u prilogu koji, ukoliko se otvori, traži od žrtve da sačuva dokument i omogući editovanje.

Dokument sadrži PDF ikonu koja, ako se klikne na nju, pokreće maliciozni izvršni fajl na računaru žrtve i odmah prikazuje lažnu poruku o grešci, tako da žrtva poveruje da sistemski fajl koji je potreban za otvaranje dokumenta nedostaje.

U pozadini, malver izvršava mnoge anti-VM (virtuelna mašina) i anti-sandbox kontrole kako bi odlučio da li može zaraziti sistem a da ne bude uhvaćen. Ako su svi uslovi ispunjeni, malver obavlja još provera kako bi odlučio o tome da li će inficirati sistem majnerom ili ransomwareom:

1.) Instalira ransomware ako ciljani sistem ima folder "Bitcoin" u delu AppData. Pre šifrovanja fajlova RSA-1024 algoritmom, malver završava sve procese koji odgovaraju unapred definisanoj listi popularnih aplikacija, a zatim prikazuje poruku o otkupu.

2.) Instalira majner ako folder "Bitcoin" ne postoji i ako računar ima više od dva logička procesora. Ako se sistem inficira majnerom, on koristi program MinerGate za kopanje Monero (XMR), Monero Original (XMO) i Dashcoin (DSH) kriptovaluta u pozadini. Pored toga, malver koristi CertMgr.exe program za instaliranje lažnih root sertifikata za koje se tvrdi da su ih izdali Microsoft Corporation i Adobe Systems, sa ciljem da se prikrije majner kao pouzdani proces.

3.) Aktivira crva ako nema foldera "Bitcoin" i ako postoji samo jedan logički procesor. Ova komponenta pomaže malveru da se kopira na sve računare locirane u lokalnoj mreži pomoću deljenih resursa.

"Za svaki računar koji je naveden u fajlu trojanac proverava da li je folder Users deljen, i ako jeste, malver se kopira u folder AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup svakog dostupnog korisnika", kažu istraživači.

Bez obzira na to koja je komponenta izabrana, malver proverava da li se pokreće neki od navedenih antivirusnih procesa. Ukoliko se na sistemu ne pronađe antivirusni proces, malver će pokrenuti nekoliko cmd komandi kako bi onemogućio Windows Defender.

"Još jedna zanimljiva činjenica je da zlonamerni softver ima i neke funkcije špijunskog programa - njegove poruke uključuju listu pokrenutih procesa i prilog sa snimkom ekrana", kažu istraživači.

Ova verzija malvera cilja prvenstveno korisnike u Rusiji (95,5%), ali i u Kazahstanu (1,36%), u Ukrajini (0,57%), Nemačkoj (0,49%) i Indiji (0,41%) gde je zabeležen mali broj infekcija.

Da ne biste i vi postali deo statistike koja se odnosi na žrtve ovog malvera, nikada ne otvarajte sumnjive fajlove i linkove u emailovima. Takođe, redovno pravite rezervne kopije i ažurirajte antivirusni softver.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje