Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Opisi virusa, 22.01.2020, 02:30 AM

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke.

FTCode je ransomware koga su prvi primetili istraživači kompanije Sophos još 2013. godine, a malver se ponovo pojavio krajem septembra prošle godine u spam emailovima koji su stizali na email adrese italijanskih korisnika.

Analiza koju je sproveo tim ThreatLabZa kompanije Zscaler otkriva da napadači za širenje ransomwarea koriste emailove. Emailovi sadrže zaražene Word dokumente koji izgledaju kao računi, skenirani dokumenti i biografije, koji inficiraju uređaj JasperLoader downloaderom.

Malver kreira prečicu WindowsIndexingService.lnk u Windows startup folderu. Pored toga, kreira planirani zadatak koji se zove WindowsApplicationService. I prečica i planirani zadatak pokreću zlonamernu skriptu WindowsIndexingService.vbs.

Pre nego što započne šifrovanje fajlova FTCode će potražiti w00log03.tmp fajl i ako ga ne nađe, generisaće enkripcijski ključ koji šalje serveru koji je pod kontrolom napadača. Ključ tada može biti “uhvaćen” i zatim kasnije iskorišćen sa dekripterom koji je srećom dostupan.

U sledećoj fazi ransomware briše Shadow Volume kopije i Windows rezervne kopije zbog čega je vraćanje fajlova posle toga nemoguće bez plaćanja otkupnine od 500 dolara koliko traže napadači.

Ransomware šifruje niz fajlova i ubacuje poruku o otkupnini „READ_ME_NOW.htm“ u root folder.

Korisnici se upućuju da preuzmu TOR pregledač i otvore link za stranicu na kojoj treba da plate ključ za dešifrovanje koji im omogućava da dešifruju svoje fajlove.

FTCode dodaje svakom šifrovanom fajlu ekstenziju .FTCODE, i „READ_ME_NOW.htm“ fajl u svaki folder.

Pored šifrovanja fajlova, ransomware takođe krade lozinke iz najpopularnijih pregledača i email klijenata, uključujući Internet Explorer, Mozilla Firefox, Google Chrome, Mozilla Thunderbird i Microsoft Outlook. Ransomware može skenirati podrazumevane lokacije na kojima ove aplikacije čuvaju poverljive podatke, izvlači ih i šalje C&C serveru.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje