Pratite nas preko RSS-aNovi ransomware CryptoFortress imitira poznati TorrentLocker
Opisi virusa, 20.03.2015, 07:00 AM
Početkom meseca poznati francuski istraživač Kafeine otkrio je ransomware za čije se širenje koristi explot alat Nuclear Pack. Ransomware se predstavlja kao “CryptoFortress”, ali njegovo obaveštenje o otkupu šifrovanih fajlova i stranica za plaćanje otkupa veoma liče na one koje prikazuje već dobro poznati ransomware Torrent Locker.
Istraživači iz kompanije ESET analizirali su novi ransomware i došli do zaključka da je reč o dvema veoma različitim pretnjama, ali da su kriminalci koji stoje iza CryptoFortress malvera izgleda ukrali HTML templejtove i CSS kod od TorrentLockera. Ali osim toga, CryptoFortress i TorrentLocker nemaju mnogo sličnosti.
Dva ransomwarea se najpre razlikuju po načinu širenja - TorrentLocker se širi preko spama, a CryptoFortress, kako smo već rekli, pomoću exploit alata.
Lokacija stranice sa obaveštenjem o otkupu se nalazi u kodu malvera, dok je drugi malver dobija sa C&C servera. Kada je reč o stranici za plaćanje, u slučaju oba malvera ona je sakrivena na Tor anonimnoj mreži.
Kada je reč o enkripciji, TorrentLocker koristi AES-256 CBC, a CryptoFortress AES-256 ECB. Ovaj prvi ima hardkodovan server za komandu i kontrolu, dok kod ovog drugog to nije slučaj.
Kriptografska biblioteka koju koristi CryptoFortress je Microsoftova CryptoAPI, dok se TorrentLocker oslanja na open-source LibTomCrypt.
TorrentLocker šifruje 2 Mb na početku fajla, dok CryptoFortress prvih 50% fajla, najviše do 5 Mb.
I po pitanju otkupa, ova dva malvera se razlikuju. TorrentLocker traži različite iznose, dok CyrptoFortress traži 1 bitcoin da bi vratio fajlove.
CryptoFortress se pojavio 02. marta, kada su se na internetu pojavile prvi izveštaji korisnika da su im fajlovi na računarima šifrovani.
Malver su analizirali i stručnjaci francuske kompanije Lexsi koji su otkrili da se AES ključ korišćen za enkripciju podataka na hard disku čuva lokalno u HTML fajlovima nazvanim “READ IF YOU WANT YOUR FILES BACK”, i da je on zaštićen RSA 1024-bitnim javnim ključem.
Osim lokalnih diskova, ransomware zaključava i fajlove na mapiranim diskovima i deljenim mrežama, i briše volume shadow copies da bi sprečio vraćanje fajlova.
Izdvojeno
Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a
.jpg)
Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje
Novi malver koji krade lozinke širi se preko YouTube-a
.jpg)
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje
Novi malver MassJacker krije se u piratskom softveru
.jpg)
Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje
Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke
Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje
BlackLock je nova opasna ransomware banda
Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje
Pratite nas
Nagrade
Prijatelji
