Tim security istraživača, MalwareHunter je otkrio 10. februara prvi ransomware koji verovatno dolazi iz Srbije, nazvan SerbRansom.

Poruka koja se pojavljuje u slučaju da ste se zarazili sa ovim ransomware-om je slična poruci na slici gore.

Kada se pojavi poruka u pozadini se čuje pesma ”Srpska se truba sa Kosova čuje”, sa ovog YouTube videa.

Kriptovani fajlovi dobijaju nastavak, ekstenziju .velikasrbija (prema uzorku WindowsApplication100.bin, ali je moguće da se pojave i drugi). Istraživači iz MalwareHunter-a su otkrili i alat koji omogućava da haker pokrene kriptovanje fajlova preko RDP (Remote Dekstop Protocol) veze pri čemu kriptovani fajlovi dobijaju nastavak .razarac (destroyer).

Tragovi u kodu pokazuju da je verovatni kreator ovog alata R4z0rx0r, čiji postovi i profil mogu da se nađu na HackForumT forumu.

SerbRansom je kreiran pomoću alata za kreiranje ransomware-a, koji omogućava da izaberete tip enkripcije, ključ, bitcoin wallet ID (za primanje uplata), ekstenziju koja će se dodati na kriptovane fajlove i sl. Alat, SerbRansom Builder, kojim se pravi ransomware izgleda ovako:

Alat služi i za kreiranje dekriptora.

Ransomeware by Destroyer 2017.exe
MD5 3d81ecaaf8a20d4078bb67574b911e5c
SHA1 cdd8476071fdb897e67e7d6783d732327837cf28
SHA256 adc849c0b740c73a17bf8153afb76d6158de38cc152d769c51bf17535ddd9f43

WindowsApplication100.exe
MD5 a1f6c88a85672f125b9f68ce0a48e16b
SHA1 432b4c9bf7b8cc2419b4de32bd394440b390e930
SHA256 eaaa59c506bce0773be9a159ca5b6914b841778527ced1007fa1a76f49ecdafd

Izvor: BleepingComputer