Light Version von Cryptowall 3.0, Keine Einbau Exploits

Light Version von Cryptowall 3.0, Keine Einbau Exploits

Ein brandneues, abgespeckte Version von Cryptowall ist jetzt verfügbar. Es verfügt über keine eingebaute Exploits, das ist eine weitere Bestätigung für den wachsenden Trend für Ransomware, hauptsächlich über verteilt werden Exploit-Kits. Die Kits, darunter Kern, Angler und Hanjuan, wurden kürzlich Einbeziehung von Erfolg Flash-Exploits mit einer Mischung von Ransomware und Malware.

Gestern, Die Cisco-Forscher haben einen Bericht über eine neue Probe von der Talos Forschungsteam untersucht veröffentlicht. Die Forscher glauben, dass diese Probe ist in der dritten Generation von Cryptowall, Namen Crowti. Die Verschlüsselungsebenen Cryptowall 3.0 wurden in den vorherigen Versionen der Ransom gesehen worden. Das Ransomware packt Dateien, die auf einem infizierten Computer gespeichert werden und verschlüsselt sie, Bitte um ein Lösegeld im Austausch eines Verschlüsselungsschlüssels, der diese Dateien freigeben wird.

Wie bei den vorherigen Versionen, Cryptowall 3.0 durch Anonymität Netzwerke wie I2P kommunizieren, um den geheimen Charakter der Kommunikation zwischen den infizierten Computern und den Befehl erhalten. Diese Version, jedoch, hat viele Funktionen, neben der Verwendung von mehreren Großtaten in der Pipette entfernt. Darunter ist die Fähigkeit zum Umschalten zwischen der 32-Bit- und 64-Bit-Betrieb, und die Entfernung der überprüft, ob der Code viralen Maschine ausführt, als Angabe, dass die Software oder ein Sicherheitsforscher ist auf der anderen Seite. Cisco war überrascht, in die Stichprobe zu entdecken ein toter Code und API-Aufrufe, die nutzlos sind.

Nach Angaben der Cisco Bericht, der Mangel an Großtaten in der Pipette ist ein Hinweis darauf, dass die Malware-Autoren werden mehr über die Verwendung der Exploit-Kits als Angriff Anbieter konzentriert, wie die Funktionalität der Exploit-Kits verwendet werden, um das System zu Zugriffsrechten zu erlangen. Wenn es keine Zugriffsrechten, die Versuche macht, schalten Sie viele der aktivierten Sicherheitsfunktionen, es wahrscheinlich ist, dass das System nicht. Cisco bestätigt, dass die Entschlüsselung geschieht auf drei Bühnen wie der Pipette liest, entschlüsselt und speichert dann den Code vor der Ausführung der PE-Datei, die Ransomware hat.

Microsoft veröffentlichte auch eine Forschung über Cryptowall 3.0 im Januar. Ein paar Tage nach dem Beginn des neuen Jahres, das Unternehmen bemerkte einen kurzen Anstieg der Aktivität, später von Kafeine bestätigt, Forscher aus Frankreich, der in der Aktivität der Exploit-Kits spezialisiert. Microsoft und Kafeine erklärte weiter, dass Crowti Stämme werden durch I2P und Tor Kommunikation.

Die Opfer des ransomeware sind eine Bilddatei mit Informationen, wie man die Zahlung tun bereitgestellt. In der Regel, dass es durch Bitcoin oder anderen Zahlungsdienstleister. Diese Information kommt mit Anweisungen, wie Sie das Tor-Browser installieren.

Die Crowti aktuellen Aktivitäten kommt nach einer Zeit der Stille seit Oktober letzten Jahres, wenn Microsoft gemeldet 4000 Infektionen im System, mehr als 70 % deren Wesen in den Vereinigten Staaten. Cryptowall 2.0 wurde als eine Version der Ransomware-Familie mit den 64-Bit-Erkennung Fähigkeiten akzeptiert, in dem die ausführbare wurde unter Verschlüsselungsschichten und die Kommunikation über Datenschutznetze abgedeckt.

Bericht von Cisco auf Cryptowall 3.0, gab gestern, enthält Informationen zu den jeweiligen Entschlüsselungsstufen, der binäre Gebäude, die Schaffung von Verfahren und die für die Kommunikation verwendet URLs. Genau wie bei den letzten Versionen, Das Geheimnis liegt in dem Anhalten des ersten Angriffs Anbieter, egal ob es sich Drive-by-Download oder eine Phishing-Mail.

Entscheidend für die ransomeware Kampf und deren Prävention von Halten Daten des Benutzers als Geisel ist die Blockierung der ersten Phishing-E-Mails, das Blockieren von Schadprozessaktivität und die Blockierung von Netzwerkverbindungen, um bösartige Inhalte. Weitere entscheidend für die Überwindung von Angriffen auf die Daten des Benutzers ist die Einrichtung von schweren und regelmäßige Sicherung und Wiederherstellung Politik. Auf diese Weise kann die wichtigen Daten gespeichert werden, unabhängig davon, ob das Gerät unterliegt der Naturkatastrophen oder böswillige Angriffe über das Netzwerk.