Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Opisi virusa, 06.07.2018, 08:30 AM

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od njihove konfiguracije da bi na kraju odlučio koji od ova dva programa može biti profitabilniji.

Dok je ransomware vrsta malvera koji blokira računar i sprečava korisnika da pristupi šifrovanim podacima sve dok ne plati otkup za ključ potreban za dešifrovanje fajlova, majneri koriste CPU zaraženog sistema za kopanje digitalnog novca.

I ransomware i majneri su vodeće među pretnjama i iako se značajno razlikuju imaju i neke sličnosti. Obe vrste malvera se koriste u nesofisticiranim napadima, koji nisu ciljani, i obe vrste malvera na ovaj ili onaj način imaju veze sa kriptovalutama.

Međutim, zaključavanje računara sa idejom da se od žrtve iznudi otkup ne garantuje kriminalcima da će zaraditi, jer nekada žrtve nemaju ništa važno na računaru zbog čega bi bile spremne da plate. Zbog toga su se proteklih meseci sajber kriminalci okrenuli majnerima kriptovaluta kao efikasnijem načinu zarade od računara žrtava.

Istraživači Kaspersky Laba otkrili su novu verziju ransomwarea Rakhni, koji je sada nadograđen tako da može i da se bavi rudarenjem kriptovaluta.

Rakhni se širi preko spear fišing emailova koji sadrže MS fajl u prilogu koji, ukoliko se otvori, traži od žrtve da sačuva dokument i omogući editovanje.

Dokument sadrži PDF ikonu koja, ako se klikne na nju, pokreće maliciozni izvršni fajl na računaru žrtve i odmah prikazuje lažnu poruku o grešci, tako da žrtva poveruje da sistemski fajl koji je potreban za otvaranje dokumenta nedostaje.

U pozadini, malver izvršava mnoge anti-VM (virtuelna mašina) i anti-sandbox kontrole kako bi odlučio da li može zaraziti sistem a da ne bude uhvaćen. Ako su svi uslovi ispunjeni, malver obavlja još provera kako bi odlučio o tome da li će inficirati sistem majnerom ili ransomwareom:

1.) Instalira ransomware ako ciljani sistem ima folder "Bitcoin" u delu AppData. Pre šifrovanja fajlova RSA-1024 algoritmom, malver završava sve procese koji odgovaraju unapred definisanoj listi popularnih aplikacija, a zatim prikazuje poruku o otkupu.

2.) Instalira majner ako folder "Bitcoin" ne postoji i ako računar ima više od dva logička procesora. Ako se sistem inficira majnerom, on koristi program MinerGate za kopanje Monero (XMR), Monero Original (XMO) i Dashcoin (DSH) kriptovaluta u pozadini. Pored toga, malver koristi CertMgr.exe program za instaliranje lažnih root sertifikata za koje se tvrdi da su ih izdali Microsoft Corporation i Adobe Systems, sa ciljem da se prikrije majner kao pouzdani proces.

3.) Aktivira crva ako nema foldera "Bitcoin" i ako postoji samo jedan logički procesor. Ova komponenta pomaže malveru da se kopira na sve računare locirane u lokalnoj mreži pomoću deljenih resursa.

"Za svaki računar koji je naveden u fajlu trojanac proverava da li je folder Users deljen, i ako jeste, malver se kopira u folder AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup svakog dostupnog korisnika", kažu istraživači.

Bez obzira na to koja je komponenta izabrana, malver proverava da li se pokreće neki od navedenih antivirusnih procesa. Ukoliko se na sistemu ne pronađe antivirusni proces, malver će pokrenuti nekoliko cmd komandi kako bi onemogućio Windows Defender.

"Još jedna zanimljiva činjenica je da zlonamerni softver ima i neke funkcije špijunskog programa - njegove poruke uključuju listu pokrenutih procesa i prilog sa snimkom ekrana", kažu istraživači.

Ova verzija malvera cilja prvenstveno korisnike u Rusiji (95,5%), ali i u Kazahstanu (1,36%), u Ukrajini (0,57%), Nemačkoj (0,49%) i Indiji (0,41%) gde je zabeležen mali broj infekcija.

Da ne biste i vi postali deo statistike koja se odnosi na žrtve ovog malvera, nikada ne otvarajte sumnjive fajlove i linkove u emailovima. Takođe, redovno pravite rezervne kopije i ažurirajte antivirusni softver.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje