En helt ny, slanket version af Cryptowall er nu tilgængelig. Den er udstyret med ingen indbygget exploits, som er en bekræftelse af den voksende tendens til ransomware skal spredes hovedsagelig via udnytte kits. Kittene, blandt hvilke nukleare, Angler og Hanjuan, er for nylig blevet inkorporering med succes Flash Udnytter med en blanding af ransomware og malware.
I går, Cisco forskere har offentliggjort en rapport om en ny prøve undersøgt af Talos forskerholdet. Forskerne mener, at denne prøve er en tredje generation af Cryptowall, opkaldt Crowti. Krypteringen niveauer Cryptowall 3.0 er set i de tidligere versioner af ransomware. Denne ransomware griber filer, der er gemt på en kompromitteret computer og krypterer dem, beder om en løsesum i bytte for en krypteringsnøgle, som vil frigive disse filer.
Ligesom med de tidligere versioner, Cryptowall 3.0 kommunikerer gennem anonymitet netværk såsom i2P for at bevare den hemmelige karakter af kommunikationen mellem de inficerede computere og kommandoen. Denne version, dog, har fjernet mange funktioner udover brugen af flere bedrifter i dropper. Blandt dem er evnen til at skifte mellem 32-bit og 64-bit, og fjernelse af en check, om koden er viral maskine udfører, som tegn på, at software eller en sikkerhedsekspert er på den anden side. Cisco blev overrasket over at opdage i stikprøven et dødt kode og API-kald, der er ubrugelige.
Ifølge rapporten Cisco, manglen på exploits i dropper er en indikation af, at de malware forfattere er fokuseret mere på at bruge de udnytter kits som et angreb leverandør, som funktionaliteten af udnytte kits kan bruges til at få systemet privilegium optrapning. Hvis der ikke er rettighedsforøgelse der gør forsøg på at slukke mange af de aktiverede sikkerhedselementer, det er sandsynligt, at systemet ikke. Cisco bekræftet, at dekryptering der sker på tre faser som dropper læser, dekrypterer og derefter gemmer koden, før du udfører PE fil, der har den ransomware.
Microsoft offentliggjorde også en forskning i Cryptowall 3.0 i januar. Et par dage efter starten af det nye år, selskabet bemærket en kort stigning i aktivitet, senere bekræftet af Kafeine, en forsker fra Frankrig, som har specialiseret sig i aktiviteten af de udnytter kits. Microsoft og Kafeine anførte endvidere, at Crowti stammer kommunikerer gennem i2P og Tor.
Ofrene for ransomeware leveres en billedfil med detaljer om, hvordan du gør betalingen. Normalt det er gennem Bitcoin eller en anden betalingstjeneste. Disse oplysninger kommer med instruktioner om, hvordan du installerer Tor browser.
Den Crowti seneste aktivitet kommer efter en periode med stilhed siden oktober sidste når Microsoft rapporteret 4000 infektioner i systemet, mere end 70 % som værende i USA. Cryptowall 2.0 blev accepteret som en version af ransomware familie med 64-bit sporingskapaciteten, hvor den eksekverbare var dækket under kryptering lag og kommunikation gennem privatlivets fred netværk.
Ciscos rapport om Cryptowall 3.0, udstedt i går, indeholder oplysninger om de respektive dekryptering etaper, den binære bygning, etablering af processer og de webadresser, der anvendes til kommunikation. Ligesom med de seneste versioner, Hemmeligheden ligger i indstilling af det første angreb sælgeren, uanset om det er drive-by download eller en phishing e-mail.
Kritisk til ransomeware kamp og dens forebyggelse fra at holde brugerens data som gidsel er blokeringen af indledende phishing emails, blokering af ondsindet proces aktivitet og blokering af netværksforbindelser til skadeligt indhold. Yderligere kritisk til at overvinde angreb brugerens data er etableringen af en alvorlig og regelmæssig backup og gendannelse politik. På den måde de vigtige data bliver gemt, uanset om enheden er omfattet af naturkatastrofer eller ondsindede angreb på tværs af netværket.