Novi kripto-ransomware Crypt0L0cker izbegava američke korisnike i neke fajlove

Opisi virusa, 05.05.2015, 07:30 AM

Uspeh kripto-ransomwarea CryptoLocker očigledno je za sajber kriminalce bio signal da ova vrsta malvera može biti veoma unosan poslovni model. Posle toga smo bili smo svedoci pojave brojnih novih kripto-ranosmwarea, a najnoviji malver ove vrste koji je privukao pažnju je nazvan Crypt0L0cker.

Osim naziva u kome je slovo “o” zamenjeno nulom, Crypt0L0cker nema mnogo toga zajedničko sa CryptoLockerom. Kada je otkriven krajem aprila, mislilo se da je reč o novoj verziji kripto-ranosmwarea TorrentLocker.

Ipak, ono po čemu se ovaj malver razlikuje od TorrentLockera je da striktno izbegava napade na američke korisnike, kao i to što ima hardkodovanu listu fajlova koje ne treba da šifruje.

Novi ranosmware se trenutno širi putem emailova koji su predstavljeni kao obaveštenja o saobraćajnim prekršajima ili druga obaveštenja državnih institucija, a malver napada korisnike u Evropi, Aziji i Australiji.

Kada se instalira, Cryp0L0cker se povezuje sa komandno-kontrolnim serverom (C&C server) i šalje jedinistveni identifikator žrtve, kao i ID kampanje. C&C server tada šalje malveru HTML obaveštenje o otkupu i naziv pod kojim fajl treba da bude sačuvan. Trenutni naziv tog fajla je DECRYPT_INSTRUCTIONS.html a tekstualna verzija nosi naziv DECRYPT_INSTRUCTIONS.txt.

Malver tada skenira hard disk i šifruje sve fajlove koji nemaju sledeće ekstenzije: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe. Kada šifruje fajl, malver nazvu fajla dodaje ekstenziju .encrypted.

Dok to radi, malver istovremeno briše Shadow Volume Copies fajlova tako da ih korisnik ne može povratiti.

Kada završi sa šifrovanjem, malver prikazuje obaveštenje o otkupu koje će se naći u svakom folderu na računaru. Crypt0L0cker se pokreće svaki put prilikom prijavljivanja na Windows.

Cryp0L0cker trenutno od žrtava traži 2,2 bitcoina (oko 450 evra). Obaveštenja o otkupu sadrže personalizovane linkove za sajt Buy Decryption na kome je moguće obaviti plaćanje. Ovi linkovi sadrže ID korisnika i lozinku tako da samo žrtva može pristupiti svojim informacijama. Po svemu ovome, Crypt0L0cker podseća na TorrentLocker.

Za sada ne postoji rešenje za besplatno dešifrovanje fajlova koje je Cryp0L0cker šifrovao. Jedini način da se fajlovi povrate je iz backupa ako postoji.