Greška

Došlo je do greške.

Ovaj novi ransomware preti da će obrisati kompletan Windows sa računara ako njegova žrtva ne plati traženi iznos

18.03.2022 18:58 | 0 Software/Web
Ovaj novi ransomware preti da će obrisati kompletan Windows sa računara ako njegova žrtva ne plati traženi iznos

 

Dvostruka iznuda postala je hit prošle godine, kada su ransomvare bande počele da kradu datoteke pre nego što su ih šifrovale kako bi zapretile žrtvama deljenjem osetljivih podataka ako ne plate.

BlackBerry Threat Intelligence sada upozorava da LokiLock, prvi put viđen u avgustu 2021. godine, ima „opcionu funkciju brisača“ za vršenje pritiska na žrtve na malo drugačiji način.

Umesto da napadači koriste pretnju objavljivanja datoteka žrtve, kako bi na njih izvršili pritisak da im plate, LokiLock-ovi prete da će prepisati Windows Master Boot Record (MBR) žrtve, koji briše sve datoteke i čini mašinu neupotrebljivom. Ali ta taktika efektivno završava sve pregovore o plaćanju, naravno.

Funkcionalnost brisanja diska je nedavno došla u fokus zbog destruktivnih napada malvera na ukrajinske organizacije. Američka vlada strahuje da bi destruktivni malver mogao da cilja organizacije na Zapadu u znak odmazde za sankcije Rusiji.

Istorijski gledano, malver za brisanje diskova je često bio favorizovan od strane hakera koje sponzoriše država, kao što je bio slučaj u NotPetia, WhisperGate i HermeticViper – svi manje ili više povezani sa akterima koje sponzoriše ruska država – gde je ransomvare mamac za pravu destruktivnu nameru.

Ali komercijalno motivisani ransomvare koji uništava računar žrtve? Svakako se čini da je to drugačiji stil pregovora o otkupnini od ransomvare-a koji je povezan sa ruskim akterima.

Jedinim potezom svi gube“, primećuje BlackBerry.

Međutim, Microsoft je pratio nove iranske hakerske grupe koje koriste i enkripciju i destruktivni malver.

BlackBerry ukazuje na neke dokaze koji sugerišu da su LokiLocker razvili iranski hakeri i dizajniran je da cilja na žrtve koje govore engleski, javlja ZD Net.

 

rensomver.jpg



Dokaz: postoji vrlo malo engleskih pravopisnih grešaka u nizovima za otklanjanje grešaka malvera; LokiLocker grupe ćaskaju na iranskim hakerskim forumima; a Iran je jedina lokacija trenutno na crnoj listi za aktiviranje šifrovanja. Pored toga, neke alate za razbijanje akreditiva, koji su distribuirani u ranim uzorcima LokiLocker-a, verovatno je razvio iranski tim za krekiranje pod nazivom "AccountCrack“.

Iako nismo bili u mogućnosti da pouzdano procenimo odakle tačno LokiLocker RaaS potiče, vredi napomenuti da su svi ugrađeni nizovi za otklanjanje grešaka na engleskom i – za razliku od većine zlonamernog softvera koji potiče iz Rusije i Kine – jezik je uglavnom bez greške i pravopisnih grešaka“, primećuje BlackBerry. „Nije sasvim jasno da li to znači da oni zaista potiču iz Irana ili da skriveni akteri pokušavaju da prebace krivicu na iranske napadače“, navodi se u saopštenju.

Što se tiče funkcije brisanja diska, BlackBerry kaže da će zlonamerni softver pokušati da uništi sistem ako se otkupnina ne plati u navedenom vremenskom roku. Briše sve datoteke žrtve, osim sistemskih datoteka, a takođe pokušava da prepiše MBR, a zatim, nakon forsiranja poruke o greški na BSOD (plavom ekranu smrti), ponovo pokreće obrisanu mašinu i prikazuje poruku: „Niste nam platili. Dakle izbrisali smo sve vaše datoteke :) Loki locker ransomvare_“.

Pre isteka roka za plaćanje, zlonamerni softver menja ekran za prijavu žrtve i pozadinu radne površine u poruku o otkupnini i daje veb datoteku koja prikazuje belešku o otkupnini na radnoj površini žrtve sa detaljima o vremenu koje je preostalo „da izgubite sve svoje datoteke“.

LokiLocker je napisan u .NET-u i zaštićen NETGuard-om (modifikovanim ConfuserEX), koristeći dodatni dodatak za virtuelizaciju koji se zove KoiVM, prema BlackBerri-ju.

LokiLocker-ova upotreba KoiVM-a kao virtuelizovanog zaštitnika za .NET aplikacije je neobičan metod za komplikovanje analize. Još nismo videli mnogo drugih aktera koji ga koriste, tako da bi ovo mogao biti početak novog trenda“, kažu iz renomirane kompanije.

 

Benchmark možete pratiti i na društvenim mrežama | Facebook | Twitter | Instagram | YouTube |
Na Benchmark forumu uvek možete učestvovati u kvalitetnim i aktuelnim diskusijama iz IT industrije

Audi A6 Avant e-tron koncept je EV automobil koji želimo da vidimo što pre

Yettel svaki dan - Popusti za preko 70 brendova u Yettel aplikaciji

10504
10505
10506
10507
10508
10509