Raste broj infekcija ransomwareom BandarChor

Opisi virusa, 11.03.2015, 08:00 AM

Stručnjaci kompanije F-Secure upozorili su na porast broja infekcija ransomwareom BandarChor koji obično stiže na računare korisnika putem malicioznih emailova, ali stručnjaci smatraju da je malver uključen i u neke exploit alate.

Prve infekcije novom familijom ransomwarea primećene su u novembru 2014., ali je njihov broj od tada opadao.

Međutim, prošle nedelje situacija se promenila.

Odmah pošto je računar kompromitovan, malver se kopira u Startup folderu, gde ostavlja i obaveštenje o otkupu u formi slike.

Malver pokušava da šifruje dokumente i slike, kao i druge fajlove na računaru koji imaju sledeće ekstenzije: doc, xls, jpg, zip, cdr, mkv, txt, rtf, pdf, odt, m2v, mov, dwg, csv, docx, ppt, avi, mdb i tib.

Nazivi šifrovanih fajlova se menjaju dodavanjem sufiksa “.id-[ID][email protected]”.

Sada kada je računar talac malvera, on šalje naziv računara i ID udaljenom serveru za komandu i kontrolu preko HTTP POST.

Obaveštenje o otkupu je jednostavno. U njemu se kaže da je enkripcija koju koristi virus jaka, i da je nemoguće povratiti fajlove bez originalnog ključa.

Da bi dobio ključ za dešifrovanje, korisnik treba da pošalje poruku na određenu email adresu, koju treba da naslovi sa “encryption”, kao i ID koji je dodelio malver.

Ovo je zanimljivo jer distributeri ranosmwarea koji su trenutno u opticaju ne rizikuju da budu otkriveni, pa žrtvama ostavljaju jedino adresu bitcoin novčanika na koji otkup koji traže treba da bude usmeren.