Zli Deda Mraz ne donosi poklone: Ransomware Ded Cryptor traži 1500 dolara za dešifrovanje fajlova

Opisi virusa, 23.06.2016, 06:30 AM

Zli Deda Mraz ne donosi poklone: Ransomware Ded Cryptor traži 1500 dolara za dešifrovanje fajlova

Stručnjak za malvere Majkl Gilespi otkrio je ransomware koji je nazvan “Ded Cryptor” koji već neko vreme inficira računare korisnika koji govore engleski i ruski jezik.

Kada inficira računar, na desktopu se pojavljuje slika zlog Deda Mraza koji izgleda kao da se zabavlja dok šifruje fajlove na zaraženom računaru. Ded Cryptor menja pozadinu na desktopu slikom koja sadrži obaveštenje o otkupu koji žrtva treba da plati. Tu je i email adresa dedcrypt@sigaint.org, na koji žrtva treba da pošalje email kako bi dobila uputstvo kako da plati otkup.

Od žrtava se traži da plate 2 bitcoina, odnosno 1500 dolara.

U ovom trenutku se još ne zna kako se Ded Cryptor širi.

Kada je instaliran, Ded Cryptor generiše AES šifru i zatim šifruje samo korisnikov %UserProfile% folder. Šifrovanim fajlovima dodaje se .ded ekstenzija. To znači da će naziv fajla test.jpg bti promenjen u test.jpg.ded. Ded Cryptor šifruje .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png., .csv, .sql, .sln, .php, .asp, .aspx, .html, .xml, .psd, .dll, .lnk, .pdf.

Kada završi sa šifrovanjem fajlova Ded Cryptor šifruje AES ključ sa RSA koji dobija sa komandno-kontrolnog (C&C) servera.

Ded Cryptor je baziran na EDA2 ransomwareu, projektu truskog istraživača Utku Sena koji je odgovoran za fijasko sa Magic ransomwareom koji se dogodio u januaru ove godine. Sen je ubrzo posle toga napustio ovaj projekat.

Ransomwarei bazirani na EDA2 nisu nerešiv problem za istraživače, ali autori Ded Cryptora su otišli korak dalje. Za razliku od drugih na EDA2 baziranih ransomwarea, kod Ded Cryptora se se metod koji se inače koristi da bi se došlo do ključeva za dešifrovanje ne može iskoristiti. Osim toga, Ded Cryptor sadrži neiskorišćeni prostor nazvan DarthEncrypt, šro ukazuje da su autori pokušali da naprave novi način enkripcije za EDA2 ransomware.

Zbog toga, u ovom trenutku za žrtve nema načina da besplatno vrate svoje fajlove koje je šifrovao Ded Cryptor.

Imajući to na umu, korisnici bi trebalo da rade sve kako bi izbegli infekciju ransomwareom. To pre svega znači da ne treba da otvaraju sumnjive linkove i email atačmente, da redovno ažuriraju antivirusni softver na računaru, da primenjuju ažuriranja za programe instalirane na računaru čim budu dostupna. I naravno, ne zaboravite da redovno pravite kopije podataka sa računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje