18. Marta 2022.

Ovaj novi ransomware prijeti da će obrisati kompletan Windows sa računara ako njegova žrtva ne plati traženi iznos

Big Portal

BlackBerry Threat Intelligence sada upozorava da LokiLock, prvi put viđen u avgustu 2021. godine, ima „opcionu funkciju brisača“ za vršenje pritiska na žrtve na malo drugačiji način.

Umesto da napadači koriste pretnju objavljivanja datoteka žrtve, kako bi na njih izvršili pritisak da im plate, LokiLock-ovi prete da će prepisati Windows Master Boot Record (MBR) žrtve, koji briše sve datoteke i čini mašinu neupotrebljivom. Ali ta taktika efektivno završava sve pregovore o plaćanju, naravno.

Funkcionalnost brisanja diska je nedavno došla u fokus zbog destruktivnih napada malvera na ukrajinske organizacije. Američka vlada strahuje da bi destruktivni malver mogao da cilja organizacije na Zapadu u znak odmazde za sankcije Rusiji.

Istorijski gledano, malver za brisanje diskova je često bio favorizovan od strane hakera koje sponzoriše država, kao što je bio slučaj u NotPetia, WhisperGate i HermeticViper – svi manje ili više povezani sa akterima koje sponzoriše ruska država – gde je ransomvare mamac za pravu destruktivnu nameru.

Ali komercijalno motivisani ransomvare koji uništava računar žrtve? Svakako se čini da je to drugačiji stil pregovora o otkupnini od ransomvare-a koji je povezan sa ruskim akterima.

Jedinim potezom svi gube“, primećuje BlackBerry.

Međutim, Microsoft je pratio nove iranske hakerske grupe koje koriste i enkripciju i destruktivni malver.

BlackBerry ukazuje na neke dokaze koji sugerišu da su LokiLocker razvili iranski hakeri i dizajniran je da cilja na žrtve koje govore engleski, javlja ZD Net.

rensomver.jpg



Dokaz: postoji vrlo malo engleskih pravopisnih grešaka u nizovima za otklanjanje grešaka malvera; LokiLocker grupe ćaskaju na iranskim hakerskim forumima; a Iran je jedina lokacija trenutno na crnoj listi za aktiviranje šifrovanja. Pored toga, neke alate za razbijanje akreditiva, koji su distribuirani u ranim uzorcima LokiLocker-a, verovatno je razvio iranski tim za krekiranje pod nazivom “AccountCrack“.

Iako nismo bili u mogućnosti da pouzdano procenimo odakle tačno LokiLocker RaaS potiče, vredi napomenuti da su svi ugrađeni nizovi za otklanjanje grešaka na engleskom i – za razliku od većine zlonamernog softvera koji potiče iz Rusije i Kine – jezik je uglavnom bez greške i pravopisnih grešaka“, primećuje BlackBerry. „Nije sasvim jasno da li to znači da oni zaista potiču iz Irana ili da skriveni akteri pokušavaju da prebace krivicu na iranske napadače“, navodi se u saopštenju.

Što se tiče funkcije brisanja diska, BlackBerry kaže da će zlonamerni softver pokušati da uništi sistem ako se otkupnina ne plati u navedenom vremenskom roku. Briše sve datoteke žrtve, osim sistemskih datoteka, a takođe pokušava da prepiše MBR, a zatim, nakon forsiranja poruke o greški na BSOD (plavom ekranu smrti), ponovo pokreće obrisanu mašinu i prikazuje poruku: „Niste nam platili. Dakle izbrisali smo sve vaše datoteke 🙂 Loki locker ransomvare_“.

Pre isteka roka za plaćanje, zlonamerni softver menja ekran za prijavu žrtve i pozadinu radne površine u poruku o otkupnini i daje veb datoteku koja prikazuje belešku o otkupnini na radnoj površini žrtve sa detaljima o vremenu koje je preostalo „da izgubite sve svoje datoteke“.

LokiLocker je napisan u .NET-u i zaštićen NETGuard-om (modifikovanim ConfuserEX), koristeći dodatni dodatak za virtuelizaciju koji se zove KoiVM, prema BlackBerri-ju.

LokiLocker-ova upotreba KoiVM-a kao virtuelizovanog zaštitnika za .NET aplikacije je neobičan metod za komplikovanje analize. Još nismo videli mnogo drugih aktera koji ga koriste, tako da bi ovo mogao biti početak novog trenda“, kažu iz renomirane kompanije.

Benchmark.

Podijeli vijest na:

Pretplata
Obavijesti o
guest

0 Komentara
Najstariji
Najnoviji Najviše glasova
Inline Feedbacks
Pregledaj sve komentare