Prikaži glavni meni

Novi ransomware R980: Ako platite otkup evo zašto morate što pre preuzeti dekripter

Opisi virusa, 15.08.2016, 01:00 AM

Kada dođe do infekcije računara ransomwareom, žrtve najčešće imaju dve opcije. Ili im je ostavljena email adresa na koju mogu poslati email i tako stupiti u kontakt sa sajber kriminalcima, ili im ostavljen link za Tor web sajt na kome mogu platiti otkup, preuzeti dekripter, a u nekim slučajevima na takvim sajtovima postoji i prozor za chat preko koga žrtve mogu kontaktirati kriminalce i zatražiti podršku.

U slučaju novootkrivenog ransomwarea R980, u obaveštenju o otkupu nalazi se adresa bitcoin novčanika koju R980 dobija pošto kontaktira svoj komandno-kontrolni server i uputstvo za korisnika kako da plati otkup i dobije dekripter.

Ono po čemu se R980 razlikuje od drugih ransomwarea je upravo način plaćanja i preuzimanja dekriptera.

Prema uputstvu, kada korisnik obavi plaćanje, to će biti automatski detektovano. Da bi zaštitili svoj idetitet, sajber kriminalci koriste raspoložive email adrese zloupotrebljavajući servis Mailinator. Preko istog web sajta, sajber kriminalci kreiraju javne email naloge za žrtve koji se koriste kao mesto sa kojeg žrtve mogu preuzeti alat za dešifrovanje. Ova email adresa navedena je u obaveštenju i jedinstvena je za svakog korisnika.

Korisnici inficiranog računara moraju biti veoma oprezni jer je Mailinator servis koji automatski briše sve emailove posle nekoliko sati.

To znači da kada korisnik plati otkup, mora da proveri Mailinator inboks da bi video da li je dekripter stigao, inače rizikuje da zauvek izgubi i dekripter i sve svoje fajlove.

S obzirom na to da R980 koristi dualni sistem enkripcije baziran na AES-256 i RSA 4096 algoritmima, veoma su male šanse da će stručnjaci moći da naprave besplatni alat za dešifrovanje fajlova. R980 šifruje više od 150 vrsta fajlova i nazivu svakog šifrovanog fala dodaje ekstenziju .crypt. Da ne bude zabune - to je jedina sličnost ovog ransomwarea sa ransomwareom CryptXXX koji koristi istu ekstenziju.

R980 se širi preko spam emailova koji sadrže Office fajlove koji kada se otvore traže od korisnika da omogući macro podršku. To je uslov za infekciju računara ransomwareom R980.