Une nouvelle marque, version allégée de CryptoWall est maintenant disponible. Il dispose d'aucun exploit intégrés, qui est une autre confirmation de la tendance croissante des ransomware à propage principalement via exploiter kits. Les kits, parmi lesquels nucléaire, Angler et Hanjuan, ont été récemment intégrant avec succès Exploits Flash avec un mélange de ransomware et les logiciels malveillants.
Hier, les chercheurs de Cisco ont publié un rapport sur un nouvel échantillon examiné par l'équipe de recherche Talos. Les chercheurs croient que cet échantillon est une troisième génération de CryptoWall, nommé Crowti. Les niveaux de cryptage CryptoWall 3.0 ont été vus dans les versions précédentes du ransomware. Ce ransomware attrape fichiers qui sont stockés sur un ordinateur compromis et les chiffre, demander une rançon en échange d'une clé de cryptage qui va libérer ces fichiers.
Tout comme avec les versions précédentes, CryptoWall 3.0 communique à travers des réseaux d'anonymat tels que I2P afin de préserver le caractère secret de la communication entre les ordinateurs infectés et la commande. Cette version, cependant, a supprimé de nombreuses fonctionnalités en plus l'utilisation de multiples exploits dans le compte-gouttes. Parmi ceux-ci est la capacité pour la commutation entre le 32 bits et l'opération de 64 bits, et la suppression d'un chèque si le code est la machine exécute virale, comme une indication selon laquelle un logiciel ou un chercheur de sécurité est de l'autre côté. Cisco a été surpris de découvrir dans l'échantillon un code et API morts appels qui sont inutiles.
Selon le rapport de Cisco, le manque d'exploits dans le compte-gouttes est une indication que les auteurs de logiciels malveillants se concentrent plus sur l'utilisation des kits exploiter comme un fournisseur d'attaque, que la fonctionnalité des kits exploiter peut être utilisée pour obtenir l'escalade de privilège système. Si il n'y a pas escalade de privilège qui rend les tentatives pour désactiver de nombreuses fonctionnalités de sécurité activées, il est probable que le système sûr. Cisco a confirmé que le décryptage se passe sur trois étapes, comme le compte-gouttes lit, décrypte puis stocke le code avant d'exécuter le fichier PE qui a le ransomware.
Microsoft a également publié une recherche sur CryptoWall 3.0 en Janvier. Quelques jours après le début de la nouvelle année, la société a remarqué un court pic d'activité, plus tard confirmée par Kafeine, un chercheur de la France qui se spécialise dans l'activité des kits exploiter. Microsoft et Kafeine en outre déclaré que les souches Crowti communiquent par I2P et Tor.
Les victimes de la ransomeware sont fournis un fichier image avec des détails sur la façon de faire le paiement. Habituellement, ce est grâce à Bitcoin ou un autre service de paiement. Cette information vient avec des instructions sur la façon d'installer le navigateur Tor.
L'activité récente Crowti vient après une période de calme depuis Octobre dernier lorsque Microsoft signalé 4000 des infections du système, plus que 70 % dont l'être aux Etats-Unis. CryptoWall 2.0 a été accepté en tant que version de la famille ransomware avec les capacités de détection 64 bits, où l'exécutable a été couvert par des couches et de la communication à travers les réseaux chiffrement de confidentialité.
Le rapport de Cisco sur CryptoWall 3.0, publié hier, comprend des détails sur les étapes de décryptage respectives, la construction binaire, la création de processus et les URL utilisées pour la communication. Tout comme avec les versions antérieures, le secret réside dans l'arrêt du vendeur de l'attaque initiale, peu importe si ce est conduire par téléchargement ou un email de phishing.
Critique au combat ransomeware et sa prévention de tenir les données de l'utilisateur en otage est le blocage des e-mails de phishing initiales, le blocage de l'activité des processus malveillants et le blocage des connexions réseau à contenu malveillant. En outre essentielle pour surmonter les attaques aux données de l'utilisateur est l'établissement de sauvegarde sérieuse et régulière et restaurer la politique. De cette façon, les données importantes seront enregistrées, peu importe si le dispositif est sujet des catastrophes naturelles ou des attaques malveillantes sur le réseau.