Rezultati 1 do 1 od 1






  1. #1
    Softverski sektor - PC Klinika Херувим avatar
    Datum registracije
    24.12.2012
    Lokacija
    Едем
    Postovi
    4.655
    Sviđanja / Nesviđanja
    Zahvali
    3.122
    Pohvaljen 6.836 puta u 2.785 postova
    Moć reputacije
    492

    Otkriven ransomware PokemonGO za Windows





    Bilo je samo pitanje vremena kada će PokemonGo biti iskorišćen da bi se napravio ransomware koji će iskoristiti veliko interesovanje ljudi za ovu igru.

    Upravo je to uradio autor novootkrivenog ransomwarea PokemonGO (Hidden-Tear) koga je otkrio Majkl Gilespi, a koji se predstavlja kao aplikacija PokemonGO za Windows. Ransomware se širi kao fajl PokemonGo.exe, sa ikonom simpatičnog Pikačua. Klik na ovaj exe fajl započinje proces enkripcije.

    Inače, ovaj ransomware je baziran na projektu Hidden Tear, ransomwareu otvorenog koda koji je objavljen prošle godine.

    Na prvi pogled, infekcija ransomwarom PokemonGO izgleda kao i infekcija bilo kojim drugim ransomwareom. On na hard disku traži fajlove sa sledećim ekstenzijama: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .htm, .gif, .png.

    Pokemon GO koristi AES enkripciju za šifrovanje fajlova, a svakom šifrovanom fajlu dodaje ekstenziju .locked.

    Kada završi sa šifrovanjem fajlova PokemonGO prikazuje obaveštenje o otkupu u kome se od žrtve traži da kontaktira autora emailom koji treba da pošalje na email adresu [email protected] da bi dobila uputstvo za plaćanje.

    Međutim, to nije sve.

    Autoru malvera nije bilo dovoljno to što je napravio kripto-ransomware, već je uložio dodatno vreme i napor da bi malver imao i neke druge funkcije koje nemaju drugi kripto-ransomwarei. Tako PokemonGO dodaje backdoor nalog na zaraženom Windows računaru tako da autor malvera može kasnije da pristupa računaru.

    To nije ono što radi ransomwarei. Većina njih šifruje fajlove, briše samog sebe i prikazuje obaveštenje o otkupu. Autori ovakvih malvera imaju jedan cilj: da šifrovanjem fajlova nateraju žrtve da plate otkup. Većina ransomwarea ne želi da ostavi bilo kakakv trag osim obaveštenja o otkupu.

    PokemonGO se ponaša malo drugačije dodajući backdoor nalog na Windowsu.

    Kada se instalira, ransomware kreira korisnički nalog Hack3 i zatim ga sakriva ovaj nalog tako da se on ne vidi na Windows login ekranu.

    Da bi preživeo restartovanje računara, ransomware se kopira na svim hard diskovima, ali i na prenosivim diskovima. On kreira i Autorun.inf fajl da bi se pokrenuo svaki put kada se ubaci prenosivi disk u računar.

    Bezbednosni istraživači su uvereni da je ransomware još uvek u fazi razvoja. Kako sada stvari stoje, namenjen je arapskim korisnicima, sudeći po obaveštenju i screensaveru koje malver prikazuje a koje je na arapskom. Autor ransomwarea je verovatno iz Alžira sudeći po statičkoj AES lozinki (“123vivalalgerie”), kao i po tome što koristi arapski i francuski jezik u ransomwareu.




    informacija.rs
    Izmenjeno od: Херувим; 17.08.2016 u 13:16.


    Не плаши се људског презира и клевете. Свако ко побожно хоће да живи биће гоњен, клеветан и презиран.
    Свети Антоније Велики

  2. Sledeća 2 člana su izrazila svoju zahvalnost na ovom postu i time podržali autora Херувим:



Informacije teme

Korisnici koji pretražuju ovu temu

Trenutno je 1 korisnik(a) koji pretražuje(u) ovu temu. (Članova: 0 - Gostiju: 1)

Ovlašćenja postavljanja

  • Vi ne možete postavljati nove teme
  • Vi ne možete postavljati odgovore
  • Vi ne možete postavljati priloge
  • Vi ne možete menjati vaše poruke
  •  
Vreme je GMT +1. Trenutno je 15:47.
Pokreće vBulletin®
Autorsko pravo © 2019 vBulletin Solutions, Inc. Sva prava zadržana.
Srpski vBulletin prevod: Nicky
Image resizer by SevenSkins

Forum Modifications By Marco Mamdouh

Search Engine Friendly URLs by vBSEO 3.6.1