Een gloednieuwe, afgeslankte versie van CryptoWall is nu beschikbaar. Het heeft geen ingebouwde exploits, dat is een bevestiging van de groeiende trend voor ransomware vooral te worden verspreid via exploit kits. De kits, waaronder Nucleaire, Angler en Hanjuan, zijn onlangs opnemen succesvol Flash exploits met een mengsel van ransomware en malware.
Gisteren, Cisco onderzoekers hebben een verslag over een nieuw monster van de Talos onderzoeksteam onderzocht gepubliceerd. De onderzoekers zijn van mening dat deze steekproef is een derde generatie van CryptoWall, genaamd Crowti. De encryptie niveaus van CryptoWall 3.0 waargenomen in de eerdere versies van de ransomware. Dat ransomware pakt bestanden die zijn opgeslagen op een besmette computer en versleutelt ze, vragen om een losgeld in ruil van een coderingssleutel die deze bestanden zal vrijgeven.
Net als bij de vorige versies, CryptoWall 3.0 communiceert via anonimiteit netwerken zoals I2P om het geheim karakter van de communicatie tussen de geïnfecteerde computers en commando behouden. Deze versie, echter, heeft vele functies verwijderd, naast het gebruik van meerdere exploits in de druppelaar. Onder hen is de mogelijkheid om te schakelen tussen de 32-bits en 64-bits processor, en het verwijderen van een controle of de code wordt virale machine uitvoeren, als een aanwijzing dat de software of een security-onderzoeker is aan de andere kant. Cisco was verrast een dode code en API-aanroepen die nutteloos zijn te ontdekken in de steekproef.
Volgens het rapport van Cisco, het ontbreken van exploits in de druppelaar is een indicatie dat de malware-auteurs zijn meer gericht op het gebruik van de exploit kits als een aanval vendor, de functionaliteit van de exploit kits kunnen worden gebruikt om het systeem privilegebreuk krijgen. Als er geen privilege escalatie die pogingen doet om af te veel van de beveiliging is ingeschakeld functies moet, is het waarschijnlijk dat het systeem falen. Cisco heeft bevestigd dat de decryptie gebeurt op drie podia als de druppelaar leest, decodeert en dan slaat de code voor de PE-bestand dat de ransomware heeft uitvoeren.
Microsoft publiceerde ook een onderzoek naar CryptoWall 3.0 in januari. Een paar dagen na de start van het nieuwe jaar, het bedrijf merkte een korte piek in activiteit, later bevestigd door Kafeine, een onderzoeker van Frankrijk, die gespecialiseerd is in de activiteit van de exploit kits. Microsoft en Kafeine verklaarde verder dat Crowti stammen met elkaar communiceren door middel van I2P en Tor.
De slachtoffers van de ransomeware zijn voorzien van een image-bestand met informatie over hoe u de betaling te doen. Meestal is dat door middel van Bitcoin of andere betalingsdienstaanbieder. Die informatie wordt geleverd met instructies over hoe u de Tor browser te installeren.
De Crowti recente activiteit komt na een periode van rust sinds oktober vorig jaar toen Microsoft gerapporteerd 4000 infecties in het systeem, meer dan 70 % waarvan er in de Verenigde Staten. CryptoWall 2.0 werd aanvaard als een versie van de ransomware familie met de 64-bit detectievermogens, waar de executable onder encryptie lagen en communicatie werd gedekt door privacy-netwerken.
Verslag van Cisco's op CryptoWall 3.0, die gisteren, bevat details over de respectieve decryptie stadia, de binaire gebouw, het creëren van processen en de URL gebruikt voor de communicatie. Net als bij de eerdere versies, Het geheim ligt in het stoppen van de eerste leverancier aanval, het maakt niet uit als het drive-by download of een phishing e-mail.
Cruciaal belang voor de ransomeware bestrijden en de preventie van het houden van de gegevens van de gebruiker als gijzelaar is het blokkeren van de initiële phishingmails, het blokkeren van kwaadaardige proces activiteit en het blokkeren van het netwerk van verbindingen naar kwaadaardige inhoud. Verder van cruciaal belang voor het overwinnen van aanvallen om de gegevens van de gebruiker is de oprichting van ernstige en regelmatige back-up en het beleid te herstellen. Op die manier zal de belangrijke gegevens worden opgeslagen, het maakt niet uit als het apparaat is onderwerp van natuurrampen of andere kwaadaardige aanvallen over het netwerk.