חדש, גרסה מכווצת של Cryptowall זמין כעת. הוא כולל לא מנצל מובנה, אשר אישור נוסף של המגמה ההולכת והגוברת של כופר להתפרס בעיקר באמצעות לנצל ערכות. הערכות, ביניהם גרעיני, הדייג ואת Hanjuan, כבר המשלב בהצלחה פלאש מנצל לאחרונה בתערובת של כופר ותוכנות זדוניות.
אתמול, החוקרים סיסקו פרסמו דו"ח על מדגם חדש נבדק על ידי צוות המחקר של טאלוס. החוקרים מאמינים כי מדגם זה הוא דור-שלישי של Cryptowall, בשם Crowti. רמות ההצפנה של Cryptowall 3.0 נצפה בגרסות הקודמות של הכופר. כופר זה תופס קבצים המאוחסנים במחשב שנפרץ מצפין אותם, לבקש כופר בתמורה של מפתח הצפנה ישחרר את הקבצים הללו.
בדיוק כמו עם גירסאות קודמות, Cryptowall 3.0 מתקשר באמצעות רשתות האנונימיות כגון I2P על מנת לשמר את האופי הסודי של התקשורת בין המחשבים הנגועים ואת הפקודה. גרסה זו, למרות זאת, סירת תכונות רבות מלבד שימוש מנצל מרובה טפטף. אחד מהם הוא היכולת למעבר בין 32 סיביות ו המבצע 64 סיביות, והסרת הסימון אם הקוד מכונת ויראלי ביצוע, כאינדיקציה לכך תוכנה או חוקר אבטחה היא בצד השני. סיסקו הופתעתי לגלות במדגם שיחות קוד ו- API מת כי הם חסרי תועלת.
על פי הדיווח של Cisco, החוסר מנצל את טפטפת הוא אינדיקציה לכך המחברים הזדוניים מתמקדים יותר על שימוש בערכות לנצל כספק התקפה, הפונקציונליות של הערכות לנצל ניתן להשתמש כדי להשיג את הסלמת זכות המערכת. אם אין הסלמת פריבילגיה שעושה ניסיונות לכבות רבה של תכונות אבטחה מאופשרת, סביר להניח שהמערכת להיכשל. סיסקו אישר כי פענוח קורה בשלושה שלבים טפטפת קורא, מפענח ולאחר מכן מאחסן את הקוד לפני הפעלת קובץ PE כי יש כופר.
מיקרוסופט גם פרסמה מחקר על Cryptowall 3.0 בינואר. כמה ימים לאחר תחילת השנה החדשה, חברת לב לגידול קצר בפעילות, מאוחר יותר אישר ידי Kafeine, חוקר מצרף שמתמחה בפעילות של הערכות לנצל. מיקרוסופט ו- Kafeine ציינו עוד כי זני Crowti מתקשרים דרך I2P ו Tor.
הקורבנות של ransomeware ניתנים קובץ תמונה עם פרטים על איך לעשות את התשלום. בדרך כלל זה דרך Bitcoin או שירותי תשלום. מידע זה מגיע עם הוראות כיצד להתקין את דפדפן Tor.
הפעילות האחרונה Crowti מגיעה לאחר תקופה של שקט מאז אוקטובר האחרון כאשר מיקרוסופט דיווחה 4000 זיהומים במערכת, יותר מ 70 % מתוכם ההוויה בארצות הברית. Cryptowall 2.0 התקבל כגרסה של המשפחה הכופרת עם יכולות זיהוי 64 הסיביות, איפה ההפעלה כוסתה תחת שכבות הצפנת תקשורת באמצעות רשתות פרטיות.
הדו"ח של סיסקו על Cryptowall 3.0, אתמול הנפיקה, כולל פרטים על במות פענוח בהתאמה, הבניין בינארי, יצירת תהליכים ואת הכתובות המשמשות תקשורת. בדיוק כמו עם גירסאות קודמות, הסוד טמון עצירת ספק ההתקפה הראשונית, לא משנה אם הוא נוהג-ידי הורדה או דוא"ל התחזות.
קריטי לחימת ransomeware והמניעה שלה מהחזקת הנתונים של המשתמש כבן ערובה היא חסימת הודעות התחזות ראשוניות, חסימה של תהליך פעילות זדונית וחסימת חיבורי רשת לתוכן זדוני. בהמשך קריטי ההתקפות להתגבר על נתונים של המשתמש הוא הקמת גיבוי רציני וקבוע ולשחזר מדיניות. בדרך כי הנתונים החשובים יישמרו, לא משנה אם המכשיר כפוף של אסונות טבע או התקפות זדוניות ברשת.