Nova verzija RAA ransomware virusa napada korporativne korisnike

Izvor: Tech-Lifestyle.com, 13.Sep.2016, 14:57   (ažurirano 02.Apr.2020.)

Nova verzija RAA ransomware virusa napada korporativne korisnike

Stručnjaci iz kompanije Kaspersky Lab otkrili su novu verziju RAA ransomware-a, malver virusa koji je u potpunosti napisan na Javascript-u. Ovaj novi trojan virus napada žrtve tako što im isporučuje .zip arhivu koja sadrži maliciozan .js file. Ažurirana verzija ovog virusa takođe je u stanju da izvrši oflajn enkripciju bez potrebe da traži ključ od komandnog servera. Stručnjaci iz kompanije Kaspersky Lab smatraju da će se napadači fokusirati na korporativne mete koristeći ovu verziju malvera.
RAA ransomware se pojavio kao nova pretnja u junu 2016. godine, i bio je prvi rasomware virus koji je u potpunosti bio napisan na Javascript-u. U avgustu, stručnjaci iz kompanije Kaspersky Lab otkrili su novu verziju ovog virusa. Kao i njegov prethodnik, i ovaj malver je bio distribuiran i-mejl komunikacijom, ali je maliciozni kod bio sakriven u .zip arhivi koja je bila zaštićena lozinkom. Kriminalci su koristili ovu meru kako bi prevarili antivirusna rešenja, budući da je mnogo zahtevnije ispitati sadržaj zaštićene arhive.
Prilikom analiziranja ovih i-mejl poruka, stručnjaci iz kompanije Kaspersky Lab zaklučili su da su kriminalci u znatno većoj meri targetirali kompanije u odnosu na krajnje korisnike: maliciozne i-mejl poruke su obično sadržale informacije o zakasnelim isplatama ili dugovanjima dobavljača. Kako bi poruke izgledale još uverljivije, kriminalci su žrtvama slali obavešteja da je .zip arhiva u prilogu poruke bila zaštićena lozinkom zbog bezbednosnih razloga (lozinka za arhivu je bila priložena na dnu i-mejl poruke), kao i da je dodatno zaštićena asimetričnom enkripcijom. Ova izjava nema nikakav kredibilitet kod korisnika koji su obazrivi i razumeju se u IT tehnologije, ali može biti pogubna za lakoverne žrtve.
Dalji proces infekcije je relativno sličan sa prethodnom verzijom RAA ransomware-a. Infekcija se sprovodi tako što žrtva otvori .js fajl, koji zatim pokreće maliciozni proces. Kako bi skrenuo pažnju žrtve, trojan virus pruikazuje tekstualni dokument koji sadrži nasumično odabran skup karaktera. Dok žrtva pokušava da razume šta se događa, RAA virus u pozadini već sprovodi enkripciju korisničkih podataka i samog uređaja. Na kraju procesa, ransomware program prikazuje poruku na početnom ekranu koja obaveštava korisnika da su svi njegovi fajlovi šifrovani i pod novom .locked ekstenzijom.

Nastavak na Tech-Lifestyle.com...



Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta Tech-Lifestyle.com. Nije preneta ručno, niti proverena od strane uredništva portala "Vesti.rs", već je preneta automatski, računajući na savesnost i dobru nameru sajta Tech-Lifestyle.com. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava - molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.