VirLock/Ransom: Parazitski virus koji blokira ekran računara i traži novac od žrtava
Opisi virusa, 25.12.2014, 07:52 AM
Pretnja koju su istraživači kompanije ESET nazvali VirRansom a istraživači Sophosa VirLock je ransomware koji zaključava ekrane žrtava ali se takođe ponaša i kao parazitski virus inficirajući fajlove na računarima.
Proizvođači antivirusa svakodnevno imaju posla sa stotinama hiljada malvera, od kojih većina nisu novi malveri. Razlike između njih su često neznatne, a čak i novi malveri koji se pojavljuju svakog dana su samo manje varijacije poznatih malvera.
Međutim, ovaj novi član porodice malvera koji iznuđuju novac od korisnika inficiranih računara je korak napred u evoluciji ransomwarea, kažu istraživači.
Ransomwarei su malveri koji zaključavaju računar ili fajlove i iznuđuju novac od korisnika. Oni na računar žrtve dospevaju ili tako što ih kriminalci šalju u emailovima koji izgledaju kao poziv na hitnu rekaciju korisnika, ili preko zombi malvera koji je već na računaru i koji preuzima i pokreće ransomware.
U većini slučajeva, ranosmwarei ili zaključavaju ekran ili šifruju fajlove. Kada ransomware šifruje fajlove na hard disku obično ne zaključava ekran i ne radi ništa što bi na neki drugi način sprečilo žrtvu da koristi računar. Obaveštenje malvera može biti prikazano na nekoliko načina, koji uključuju prikazivanje obaveštenja na pozadini radne površine ili unutar tekstualnog fajla ili što je najčešće unutar prozora, kao što to radi CryptoLocker.
U nekim slučajevima, pristup ransomwarea uključuje i šifrovanje fajlova i zaključavanje ekrana prikazivanjem poruke preko celog ekrana i blokiranjem uobičajenih metoda za zatvaranje. Jedan od takvih malvera je Android/Simplocker, prvi fajl koder za Android.
U oktobru su istraživači ESET-a otkrili novi, do tada neviđeni pristup. Win32/VirLock nije samo ransomware, već i virus, samoreplicirajući parazit koji kada dospe u mrežu, čak i ako je inficirao jedan kompjuter može uskoro biti na svim ostalim računarima u mreži, čak i ako niko ne ovori prilog u emailu ili nema zombi malver koji čeka da bude iskorišćen.
Parazitski virus, za razliku od crva, se ne širi samo pravljenjem svojih kopija. Paraziti pronalaze druge programe i menjaju ih tako da oni uključuju kopiju virusa, koristeći originalni fajl kao domaćina ili prenosioca.
VirLocker, dakle, ne samo da zaključava ekran i šifruje fajlove, već ih i inficira dodajući se izvršnim fajlovima, zbog čega deluje kao parazitski virus. Ovakvi virusi mogu ostaviti stotine pa i hiljade inficiranih fajlova na računaru i ako posle čišćenja računara ostane samo jedan inficirani fajl, infekcija može ponovo započeti. Ono što je loše je da se inficirani fajlovi ne mogu samo obrisati, zato što su to vaši sopstveni fajlovi koji su bili tamo pre nego što je infekcija započela. To čišćenje računara čini mnogo komplikovanijim.
“Dezinfekcija fajla inficiranog parazitskim virusom je kao da imate teglu kreme u koju je sletela muva, ali vam nije dozvoljeno da samo bacite celu teglu”, kažu iz Sophosa. “Treba da izdvojite muvu tako da ostatak kreme bude upotrebljiv.”
Prošlog meseca ESET je otkrio brojne varijante ovog malvera, što ukazuje da autor malvera nastavlja da radi na njegovom razvoju.
“Ustvari, ovaj virus donekle izgleda kao zlonamerni eksperiment i zahvaljujući njegovoj polimorfnoj prirodi podeća nas na viruse iz DOS ere, kao što je virus Whale”, kažu iz ESET-a. “Način na koji je VirLock je realizovan pokazuje visok nivo programerskih veština, iako nekim njegovim funkcionalnostima nedostaje logika, što donekle zbunjuje.”
VirLock ne samo da inficira EXE fajlove, već inficira i ZIP, DOC i JPG fajlove. Data fajlovi su kriptovani, uvijeni u EXE shell, i preimenovani tako da je na kraju njihovog naziva ekstenzija .exe, osim ako već nije u pitanju izvršni fajl.
Kada se pokrene, malver dešifruje originalni fajl i otvara ga, što ga razlikuje od tipičnih malvera koji šifruju fajlove.
U trenutku kada korisnik pokrene inficirani fajl, malver se automatski i trajno instalira na sistemu, ostavljajući dve nasumično imenovane kopije (iako to nisu kopije jer je malver polimorfan, pa je ustvari svaka kopija jedinstvena) u foldere %userprofile% i %allusersprofile%. Malver će se postarati da se pokrene i nakon odjavljivanja sa naloga ili restartovanja računara.
Analiza istraživača ESET-a je pokazala da su na listi fajlova koje malver može da zarazi dokumenti (DOC, XLS, PDF, PPT), slike (PNG, GIF, BMP, PSD, JPG), zatim muzika (MP3), video (MPG) i arhive (RAR i ZIP).
Ako pokušate da otvorite inficiranu sliku iz nekog programa koji služi na primer kao foto editor, ona se neće učitati jer su podaci praktično zarobljeni, a ako pokušate da ih oslobodite direktnim otvaranjem fajla, najpre ćete pokrenuti malver.
Malver traga za svim fajlovima dostupnim vašem nalogu da bi ih inficirao. To uključuje i fajlove na mreži kao i USB memorijskim stikovima. Malver pokreće dva procesa koji nadgledaju jedan drugog. Ako jedan proces bude prekinut, drugi se ubrzo pokreće, tako da virus ne može lako da bude uklonjen iz memorije, naročito ne standardnim alatima za zaustavljanje programa. VirLock/Ransom prekida explorer.exe i sprečava otvaranje Task Managera i drugih procesa koji bi mogli biti od pomoći da se zaobiđe ograničenje koje nameće malver.
Pretnja koju prikazuje malver je tipična. Malver prikazuje obaveštenje preko celog ekrana u kome se žrtvi preti zbog navodnog kršenja autorskih prava i od nje traži da plati 0,652 bitcoina (216 dolara/177 evra). Ovako blokiran ekran onemogućava korisnika da pokreće ili pristupa drugim programima i fajlovima.
Jasno je da je VirLock/Ransom ransomware hibridnog tipa. On zaključava kompjuter, kao što to radi malver Reveton, onemogućavajući njegovo korišćenje sve dok korisnik ne plati otkup. On šifruje fajlove kao što to radi CryptoLocker, ali suprotno njemu, te fajlove dešifruje sam virus i bez plaćanja.
Dakle, glavni problem je zaključani ekran, dok je šifrovanje fajlova sekundarni problem.
Na sreću, ESET je objavio alat za čišćenje računara od ove pretnje, a besplatan alat za isti posao nudi i Sophos. Dakle, ne morate plaćati kriminalcima. Ali čišćenje računara nije lak posao jer je virus takav da može lako doći do ponovne infekcije.
Izdvojeno
Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT
Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje
Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera
Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u
Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje
Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera
Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje
Pratite nas
Nagrade