Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Opisi virusa, 06.07.2018, 08:30 AM

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od njihove konfiguracije da bi na kraju odlučio koji od ova dva programa može biti profitabilniji.

Dok je ransomware vrsta malvera koji blokira računar i sprečava korisnika da pristupi šifrovanim podacima sve dok ne plati otkup za ključ potreban za dešifrovanje fajlova, majneri koriste CPU zaraženog sistema za kopanje digitalnog novca.

I ransomware i majneri su vodeće među pretnjama i iako se značajno razlikuju imaju i neke sličnosti. Obe vrste malvera se koriste u nesofisticiranim napadima, koji nisu ciljani, i obe vrste malvera na ovaj ili onaj način imaju veze sa kriptovalutama.

Međutim, zaključavanje računara sa idejom da se od žrtve iznudi otkup ne garantuje kriminalcima da će zaraditi, jer nekada žrtve nemaju ništa važno na računaru zbog čega bi bile spremne da plate. Zbog toga su se proteklih meseci sajber kriminalci okrenuli majnerima kriptovaluta kao efikasnijem načinu zarade od računara žrtava.

Istraživači Kaspersky Laba otkrili su novu verziju ransomwarea Rakhni, koji je sada nadograđen tako da može i da se bavi rudarenjem kriptovaluta.

Rakhni se širi preko spear fišing emailova koji sadrže MS fajl u prilogu koji, ukoliko se otvori, traži od žrtve da sačuva dokument i omogući editovanje.

Dokument sadrži PDF ikonu koja, ako se klikne na nju, pokreće maliciozni izvršni fajl na računaru žrtve i odmah prikazuje lažnu poruku o grešci, tako da žrtva poveruje da sistemski fajl koji je potreban za otvaranje dokumenta nedostaje.

U pozadini, malver izvršava mnoge anti-VM (virtuelna mašina) i anti-sandbox kontrole kako bi odlučio da li može zaraziti sistem a da ne bude uhvaćen. Ako su svi uslovi ispunjeni, malver obavlja još provera kako bi odlučio o tome da li će inficirati sistem majnerom ili ransomwareom:

1.) Instalira ransomware ako ciljani sistem ima folder "Bitcoin" u delu AppData. Pre šifrovanja fajlova RSA-1024 algoritmom, malver završava sve procese koji odgovaraju unapred definisanoj listi popularnih aplikacija, a zatim prikazuje poruku o otkupu.

2.) Instalira majner ako folder "Bitcoin" ne postoji i ako računar ima više od dva logička procesora. Ako se sistem inficira majnerom, on koristi program MinerGate za kopanje Monero (XMR), Monero Original (XMO) i Dashcoin (DSH) kriptovaluta u pozadini. Pored toga, malver koristi CertMgr.exe program za instaliranje lažnih root sertifikata za koje se tvrdi da su ih izdali Microsoft Corporation i Adobe Systems, sa ciljem da se prikrije majner kao pouzdani proces.

3.) Aktivira crva ako nema foldera "Bitcoin" i ako postoji samo jedan logički procesor. Ova komponenta pomaže malveru da se kopira na sve računare locirane u lokalnoj mreži pomoću deljenih resursa.

"Za svaki računar koji je naveden u fajlu trojanac proverava da li je folder Users deljen, i ako jeste, malver se kopira u folder AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup svakog dostupnog korisnika", kažu istraživači.

Bez obzira na to koja je komponenta izabrana, malver proverava da li se pokreće neki od navedenih antivirusnih procesa. Ukoliko se na sistemu ne pronađe antivirusni proces, malver će pokrenuti nekoliko cmd komandi kako bi onemogućio Windows Defender.

"Još jedna zanimljiva činjenica je da zlonamerni softver ima i neke funkcije špijunskog programa - njegove poruke uključuju listu pokrenutih procesa i prilog sa snimkom ekrana", kažu istraživači.

Ova verzija malvera cilja prvenstveno korisnike u Rusiji (95,5%), ali i u Kazahstanu (1,36%), u Ukrajini (0,57%), Nemačkoj (0,49%) i Indiji (0,41%) gde je zabeležen mali broj infekcija.

Da ne biste i vi postali deo statistike koja se odnosi na žrtve ovog malvera, nikada ne otvarajte sumnjive fajlove i linkove u emailovima. Takođe, redovno pravite rezervne kopije i ažurirajte antivirusni softver.