Simplocker, prvi kripto-malver za Android, se vratio sa novom verzijom, mnogo opasnijom od prethodnih

Opisi virusa, 13.02.2015, 10:20 AM

Simplocker, prvi kripto-malver za Android, se vratio sa novom verzijom, mnogo opasnijom od prethodnih

Prvi kripto-malver za Android Simplocker je evoluirao, a sa novom verzijom malvera koju su otkrili istraživači Avasta povratak šifrovanih fajlova u prvobitno stanje nije više lak kao što je nekad bio.

Simplocker su istraživači Kaspersky Laba otkrili u junu prošle godine. Od tada se pojavilo nekoliko verzija malvera ali takvih da je stručnjacima uspevalo da u relativno kratkom roku pronađu “antidot” za ovaj malver.

Prva verzija malvera bila je namenjena korisnicima iz Rusije i Ukrajine, ali mesec dana kasnije pojavila se i verzija malvera prilagođena većem tržištu, koja se žrtvama obraćala na engleskom jeziku.

Simplocker je prvi pravi mobilni ransomware koji zaista šifruje fajlove, dok su ostali malveri koji su predstavljani kao mobilni ransomwarei samo tvrdili da to rade pokušavajući da zastraše korisnike i nateraju ih da plate kriminalcima.

Prvobitna verzija koristila je jedan enkripcioni ključ za sve žrtve koji je bio hardkodovan u malveru, ali najnovija verzija malvera šifruje fajlove tako da za svaki uređaj postoji poseban ključ, što značajno otežava dešifrovanje fajlova sa zaraženog uređaja.

Prema podacima Avasta, nova verzija malvera je do sada inficirala uređaje više od 5000 korisnika. Svi oni su na prevaru instalirali malver predstavljen kao aplikacija Flash Player i sakriven u malicioznim reklamama na sumnjivim sajtovima. Ove reklame su upozoravale korisnike da moraju da instaliraju Flash Player da bi mogli da gledaju video snimke.

Kada bi žrtva kliknula na reklamu, maliciozni program bi bio preuzet, a korisnik obavešten o instalaciji aplikacije Flash Player. Android, po defaultu, blokira instalaciju aplikacija sa nezvaničnih marketa, a korisnik uređaja se obaveštava da je instalacija blokirana zbog bezbednosnih razloga.

Korisnici bi trebalo da poslušaju Android, ali to nije uvek slučaj jer uvek imaju mogućnost da u postavkama dozvole preuzimanje aplikacija sa nepoznatih sajtova.

Kada se instalira aplikacija Flash Player pojavljuje se ikona na ekranu uređaja, i kada se klikne na nju, Flash Player zahteva od korisnika adminsitratorska prava. Tu počinju nevolje.

Malver koristi društveni inženjering da ubedi žrtvu da plati za otključavanje uređaja i dešifrovanje fajlova. Aplikacija pokušava da zastraši žrtvu obaveštenjem koje je navodno obaveštenje američkog FBI, tvrdeći da su na uređaju pronađeni sumnjivi fajlovi i optužujući korisnika za kršenje autorskih prava. Malver traži od žrtve da plati 200 dolara za dešifrovanje fajlova.

Osim šifrovanja fajlova i zahteva da korisnik plati za dešifrovanje, malver šalje sledeće podatke svom serveru za komandu i kontrolu: BUILD_ID, AFFILIATE_AD, IMEI, podatke o verziji operativnog sistema, podatke o operateru, broj telefona i podatak o zemlji u kojoj se nalazi korisnik.

Iz Avasta ne savetuju žrtvama da plaćaju kriminalcima. S obzirom da za sada nema rešenja, stručnjaci Avasta predlažu korisnicima da u slučaju infekcije najnovijom verzijom malvera, naprave backup šifrovanih fajlova povezujući smart telefon sa računarom. To neće naškoditi računaru, a na taj način žrtve mogu sačuvati fajlove i sačekati da se pojavi rešenje za njihovo dešifrovanje.

Zatim u Safe modeu, u administratorskim podešavanjima treba ukloniti malicioznu aplikaciju i deinstalirati aplikaciju iz menadžera aplikacija.

Iako Google Play nije imun na pojavu malvera, trebalo bi u podešavanjima uređaja onemogućiti instalaciju aplikacija iz nepoznatih izvora. To će sprečiti napade ransomwarea kao što je Simplocker.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje