Rakhni: Ransomware, crypto miner i crv u jednom

Istraživači iz Kaspersky Lab otkrili su novu varijantu Rakhni ransomware-a. Rakhni se prvi put pojavio 2013. godine, a nova varijanta omogućava napadačima da koriste ovaj malver kao ransomware, crypto miner ili kao tzv. net-worm. Prilikom pokretanja virusa napadač može izvršiti zaključavanje računara korišćenjem kriptografskih algoritama i zahtijevati uplatu ( ransomware ponašanje), može koristi procesor računara za rudarenje kripto valuta ( crypto miner ponašanje) ili može iskoristiti resurse računara za dalje širenje u lokalnoj mreži ( net-worm ponašanje).

Većina pogođenih korisnika se nalazi u Rusiji. Malver se korišćenjem finansijskih dokumenta kompanije u PDF formatu. Nakon otvaranja PDF datoteke pokreće se maliciozna datoteka napisana u Delphi programskom jeziku. Pri pokretanju se provjerava da li računar posjeduje više od dva logička što ga čini pogodnim za rudarenje. Rudarenje kripto valuta postalo je omiljeni izbor hakera. Za razliku od ransomware infekcija korisnici najčešće nisu ni svjesni da su njihovi računari zaraženi.

Ukoliko se izabere ransomware režim rada Rakhni čeka da korisnik bude neaktivan dvije minute nakon čega enkriptuje datoteke iz niza predefinisanih ekstenzija. Ransomware mijenja ekstenzije na .NEITRINO i prikazuje MESSAGE.txt poruku u kojoj zahtijeva otkupninu.

Ukoliko malver izabere crypto miner režim generiše VBS skript za rudarenje Monero ili Dashcoin kripto valuta.

Izvor:threatpost.com