Prema istraživanjima Kaspersky tima, novi tip ransomwarea, CryPy, napisan je u programskom jeziku Python i pre šifrovanja podataka kreira jedinstveni ključ za svaku datoteku.
CryPy se razlikuje od ostalih tipova ransomwarea jer koristi jedinstvene ključeve za svaku šifrovanu datoteku i iskorišćava kompromitovane izraelske servere za C&C komunikaciju. Kompromitovani serveri iskorišćavaju se za phishing napade. Stručnjaci za bezbednost otkrili su da CryPy nije šifrovao datoteke na ciljanom računaru, već su premeštene na novi server. Neke od posledica ovog malvera su prepisivanje pravila hijerarhijske baze podataka Windows Registry-a, uključujući Registry Tools, Task Manager, CMD i Run.
Napadači su verojatno brisali PHP datoteke koje su koristili za prikupljanje podataka s korisničkog računara. CryPy je podatke do C&C servera slao nešifrovanim HTTP kanalom u tekstualnom formatu, čime je omogućeno njegovo otkrivanje. Zlonamerni Python kod sadrži trajno zapisane pozive prema PHP skriptama na upravljačkom serveru (C&C), u obliku GET zahteva. Malware šalje naziv datoteke i jedinstveni identifikacioni broj do servera, a server vraća jedinstveni ključ za dešifrovanje.
Stručnjaci za bezbednost smatraju da generisanjem jedinstvenim ključevima za dešifrovanje pojedinih datoteka napadači žele steći poverenje kod svojih žrtava, dajući im mogućnost besplatnog dešifrovanja pojednih datoteka, što bi ih motivisalo na plaćanje otkupnine.
Pojavio se novi izuzetno opasni ransomware - CryPy
10:04
nema komentara
Postavi komentar
Vaš komentar: