CRY novi ransomware koji zna gdje živite

Otkriven je novi ransomware koji se predstavlja kao policijska organizacija.

Ovaj virus se predstavlja kao nepostojeća policijska organizacije, Central Security Treatment Organization, otkriven je od strane istraživača iz MalwareHunterTeam-a.

Ransomware, poznat kao CSTO ili CRY (zbog ekstenzije enkriptovanih podataka) zaključava podatke korisnika i zahtjeva oko 1 Bitcoin za otključavanje.

Ono što je karakteristično vezano za ovaj malver to što šalje podatke o zaraženom računaru na preko 4 000 IP adresa korišćenjem UDP protokola. Ova tehnika znatno otežava lociranje C2 servera.

Istu tehniku je koristio i Cerber ransomware koji je zatrpavao kompletne subnet-e saobraćajem na UDP portu 6892. Eksperti ne isključuju mogućnost da se računari zaraženi ransomware-ima počnu koristi za DDoS napade.

Ovaj virus pored ovog koristi i Imgur i Google mape.

CRY uključi informacije o IP adresama u PNG slike i dodaje ih u Imgur album, nakon čega preko UDP šalje jedinstveni identifikator slike kako bi obavijestio C2 server o novoj infekciji.

Ono što je neobično je i način na koji koristi Google mape. CRY koristi identifikatore bežičnih mreža kako bi pokušao da sazna fizičku adresu računara. Iako su ove informacije važne, istraživačima nije jasna svrha njihovog prikupljanja, ali se pretpostavlja da se mogu koristi kako bi zaplašili žrtvu i time je natjerali da plati.  

Izvor:threatpost.com