Prvi ransomware iz Srbije?

Prvi ransomware koji verovatno dolazi iz Srbije, nazvan SerbRansom.

Prvi ransomware iz Srbije?

Tim security istraživača, MalwareHunter je otkrio 10. februara prvi ransomware koji verovatno dolazi iz Srbije, nazvan SerbRansom.

Poruka koja se pojavljuje u slučaju da ste se zarazili sa ovim ransomware-om je slična poruci na slici gore.

Kada se pojavi poruka u pozadini se čuje pesma ”Srpska se truba sa Kosova čuje”, sa ovog YouTube videa.

Kriptovani fajlovi dobijaju nastavak, ekstenziju .velikasrbija (prema uzorku WindowsApplication100.bin, ali je moguće da se pojave i drugi). Istraživači iz MalwareHunter-a su otkrili i alat koji omogućava da haker pokrene kriptovanje fajlova preko RDP (Remote Dekstop Protocol) veze pri čemu kriptovani fajlovi dobijaju nastavak .razarac (destroyer).

Tragovi u kodu pokazuju da je verovatni kreator ovog alata R4z0rx0r, čiji postovi i profil mogu da se nađu na HackForumT forumu.

SerbRansom je kreiran pomoću alata za kreiranje ransomware-a, koji omogućava da izaberete tip enkripcije, ključ, bitcoin wallet ID (za primanje uplata), ekstenziju koja će se dodati na kriptovane fajlove i sl. Alat, SerbRansom Builder, kojim se pravi ransomware izgleda ovako:

Alat, SerbRansom Builder

Alat služi i za kreiranje dekriptora.

Ransomeware by Destroyer 2017.exe
MD5 3d81ecaaf8a20d4078bb67574b911e5c
SHA1 cdd8476071fdb897e67e7d6783d732327837cf28
SHA256 adc849c0b740c73a17bf8153afb76d6158de38cc152d769c51bf17535ddd9f43

WindowsApplication100.exe
MD5 a1f6c88a85672f125b9f68ce0a48e16b
SHA1 432b4c9bf7b8cc2419b4de32bd394440b390e930
SHA256 eaaa59c506bce0773be9a159ca5b6914b841778527ced1007fa1a76f49ecdafd

Izvor: BleepingComputer