Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Opisi virusa, 26.04.2016, 01:00 AM

Istraživači kompanije Proofpoint nedavno su otkrili nepoznati ransomware koji se krajem prošlog meseca počeo širiti pomoću malvera Bedep, koji inficira računare pomoću exploit alata Angler.

Istraživači Proofpointa kažu da je ovaj ransomware, koji je nazvan CryptXXX, projekat iste grupe koja je distribuirala ransomware Reveton koji se takođe širio pomoću exploit alata Angler i malvera Bedep.

Do infekcije računara dolazi na web stranicama koje hostuju exploit alat Angler koji koristi ranjivosti na sistemima žrtava što rezultira infekcijom računara malverom Bedep koji, u drugoj fazi infekcije, osim ransomwarea preuzima i malver Dridex 222.

Ransomware se preuzima kao DLL i smešta u neki od foldera kao štp je C:Users%Username%AppDataLocalTemp{C3F31E62-344D-4056-BF01-BF77B94E0254}api-ms-win-system-softpub-l1-1-0.dll ili C:Users%Username%AppDataLocalTemp{D075E5D0-4442-4108-850E-3AD2874B270C} api-ms-win-system-provsvc-l1-1-0.dll. Pokretanje ransomwarea se odlaže na neko vreme (u slučaju koji su analizirali istraživači Proofpointa pokretanje je odloženo za 62 minuta). Razlog za odlaganje je pokušaj da se sakrije od žrtve sa kog sajta je došla infekcija.

Posle pokretanja, ransomware šifruje fajlove na inficiranom sistemu dodajući ekstenziju .crypt nazivu svakog šifrovanog fajla.

Da bi žrtvi stavio do znanja da joj je sistem inficiran a fajlovi šifrovani, CryptXXX kreira tri fajla - de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html. Ovi fajlovi sadrže obaveštenje za žrtvu o tome da je sistem kompromitivan i da, ukloliko želi da vrati fajlove u prvobitno stanje, mora da plati 500 dolara. To je znatno više od onoga koliko ransomwarei najčešće traže.

CryptXXX nastoji da ne bude otkriven što duguje funkcijama koje ga štite od okruženja virtuelne mašine i analize istraživača.

Osim što šifruje fajlove, CryptXXX može da krade i Bitcoine, ali i korisnička imena i lozinke, kao i druge lične informacije žrtve.

Istraživači kompanije Trend Micro otkrili su da malver može da krade podatke iz aplikacija za razmenu poruka i slanje emailova. U ovoj kompaniji kažu da to nije neočekivano, jer malver Bedep ima dugu istoriju inficiranja sistema malverima koji kradu informacije. To je bio slučaj i sa malverom Pony kojim je Bedep inficirao računare počev od novembra 2014., do decembra 2015. Pony je zamenjen nepoznatim malverom koji je radio isto što i Pony - krao informacije. To se dešavalo do sredine marta ove godine. U Trend Micro su uvereni da su funkcije koje ransomwareu CryptXXX omogućavaju krađu informacija iste one koje je imao i malver koji je distribuiran do sredine prošlog meseca.

Iako su istraga i analiza ransomwarea CryptXXX još uvek u toku, istraživači koji su otkrili ovaj malver upozoravaju da on ima veliki potencijal za širenje. Drugi ransomwarei koji su se pojavili u skorije vreme ne mogu se porediti sa ovim, jer iza njih ne stoje iskusni i stručni sajber kriminalci kao što je to slučaj sa autorima CryptXXX, zbog čega on nikako ne može biti samo prolazna opasnost.

Stručnjaci strahuju da bi CryptXXX mogao da postane veoma raširena pojava. Osim toga, on se širi uz pomoć Anglera koji je u ovom trenutku vodeći exploit alat.