Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Opisi virusa, 06.07.2018, 08:30 AM

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od njihove konfiguracije da bi na kraju odlučio koji od ova dva programa može biti profitabilniji.

Dok je ransomware vrsta malvera koji blokira računar i sprečava korisnika da pristupi šifrovanim podacima sve dok ne plati otkup za ključ potreban za dešifrovanje fajlova, majneri koriste CPU zaraženog sistema za kopanje digitalnog novca.

I ransomware i majneri su vodeće među pretnjama i iako se značajno razlikuju imaju i neke sličnosti. Obe vrste malvera se koriste u nesofisticiranim napadima, koji nisu ciljani, i obe vrste malvera na ovaj ili onaj način imaju veze sa kriptovalutama.

Međutim, zaključavanje računara sa idejom da se od žrtve iznudi otkup ne garantuje kriminalcima da će zaraditi, jer nekada žrtve nemaju ništa važno na računaru zbog čega bi bile spremne da plate. Zbog toga su se proteklih meseci sajber kriminalci okrenuli majnerima kriptovaluta kao efikasnijem načinu zarade od računara žrtava.

Istraživači Kaspersky Laba otkrili su novu verziju ransomwarea Rakhni, koji je sada nadograđen tako da može i da se bavi rudarenjem kriptovaluta.

Rakhni se širi preko spear fišing emailova koji sadrže MS fajl u prilogu koji, ukoliko se otvori, traži od žrtve da sačuva dokument i omogući editovanje.

Dokument sadrži PDF ikonu koja, ako se klikne na nju, pokreće maliciozni izvršni fajl na računaru žrtve i odmah prikazuje lažnu poruku o grešci, tako da žrtva poveruje da sistemski fajl koji je potreban za otvaranje dokumenta nedostaje.

U pozadini, malver izvršava mnoge anti-VM (virtuelna mašina) i anti-sandbox kontrole kako bi odlučio da li može zaraziti sistem a da ne bude uhvaćen. Ako su svi uslovi ispunjeni, malver obavlja još provera kako bi odlučio o tome da li će inficirati sistem majnerom ili ransomwareom:

1.) Instalira ransomware ako ciljani sistem ima folder "Bitcoin" u delu AppData. Pre šifrovanja fajlova RSA-1024 algoritmom, malver završava sve procese koji odgovaraju unapred definisanoj listi popularnih aplikacija, a zatim prikazuje poruku o otkupu.

2.) Instalira majner ako folder "Bitcoin" ne postoji i ako računar ima više od dva logička procesora. Ako se sistem inficira majnerom, on koristi program MinerGate za kopanje Monero (XMR), Monero Original (XMO) i Dashcoin (DSH) kriptovaluta u pozadini. Pored toga, malver koristi CertMgr.exe program za instaliranje lažnih root sertifikata za koje se tvrdi da su ih izdali Microsoft Corporation i Adobe Systems, sa ciljem da se prikrije majner kao pouzdani proces.

3.) Aktivira crva ako nema foldera "Bitcoin" i ako postoji samo jedan logički procesor. Ova komponenta pomaže malveru da se kopira na sve računare locirane u lokalnoj mreži pomoću deljenih resursa.

"Za svaki računar koji je naveden u fajlu trojanac proverava da li je folder Users deljen, i ako jeste, malver se kopira u folder AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup svakog dostupnog korisnika", kažu istraživači.

Bez obzira na to koja je komponenta izabrana, malver proverava da li se pokreće neki od navedenih antivirusnih procesa. Ukoliko se na sistemu ne pronađe antivirusni proces, malver će pokrenuti nekoliko cmd komandi kako bi onemogućio Windows Defender.

"Još jedna zanimljiva činjenica je da zlonamerni softver ima i neke funkcije špijunskog programa - njegove poruke uključuju listu pokrenutih procesa i prilog sa snimkom ekrana", kažu istraživači.

Ova verzija malvera cilja prvenstveno korisnike u Rusiji (95,5%), ali i u Kazahstanu (1,36%), u Ukrajini (0,57%), Nemačkoj (0,49%) i Indiji (0,41%) gde je zabeležen mali broj infekcija.

Da ne biste i vi postali deo statistike koja se odnosi na žrtve ovog malvera, nikada ne otvarajte sumnjive fajlove i linkove u emailovima. Takođe, redovno pravite rezervne kopije i ažurirajte antivirusni softver.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svo... Dalje