La versione Light of Cryptowall 3.0, Nessun exploit incorporati

La versione Light of Cryptowall 3.0, Nessun exploit incorporati

Un nuovo marchio, versione snellita di Cryptowall è ora disponibile. È dotato di alcun exploit built-in, che è un'altra conferma del trend di crescita per ransomware per essere diffuso principalmente attraverso exploit kit. I kit, tra cui nucleare, Angler e Hanjuan, sono state recentemente incorporando con successo Flash Exploit con una miscela di ransomware e malware.

Ieri, i ricercatori Cisco hanno pubblicato un rapporto su un nuovo campione esaminato dal gruppo di ricerca Talos. I ricercatori ritengono che questo campione è una terza generazione di Cryptowall, chiamato Crowti. I livelli di crittografia di Cryptowall 3.0 sono stati visti nelle versioni precedenti del ransomware. Che ransomware afferra file memorizzati su un computer infetto e li crittografa, chiedere un riscatto in cambio di una chiave di crittografia che rilascerà questi file.

Proprio come con le versioni precedenti, Cryptowall 3.0 è comunicare attraverso reti di anonimato, come I2P al fine di preservare la natura segreta della comunicazione tra i computer infetti e il comando. Questa versione, tuttavia, ha tolto molte caratteristiche, oltre l'utilizzo di più exploit nel contagocce. Tra questi è la capacità per la commutazione tra il 32 bit e il funzionamento a 64 bit, e la rimozione di un controllo se il codice è macchina virale eseguendo, come un'indicazione che software o un ricercatore di sicurezza è sul lato opposto. Cisco è stato sorpreso di scoprire nel campione un codice e API morti chiamate che sono inutili.

Secondo il rapporto di Cisco, la mancanza di exploit in dropper è un'indicazione che gli autori di malware sono concentrati più sui utilizzando i kit sfruttare come un venditore di attacco, come la funzionalità del kit sfruttare può essere usato per ottenere l'escalation di privilegi di sistema. Se non c'è escalation privilegio che rende i tentativi di spegnere molte delle caratteristiche di sicurezza abilitate, è probabile che il sistema sicuro. Cisco ha confermato che la decrittazione avviene in tre fasi, come il contagocce legge, decodifica e quindi memorizza il codice prima di eseguire il file PE che ha il ransomware.

Microsoft ha anche pubblicato una ricerca sulla Cryptowall 3.0 nel mese di gennaio. Pochi giorni dopo l'inizio del nuovo anno, la società ha notato un breve picco di attività, successivamente confermato da Kafeine, un ricercatore dalla Francia che si specializza nelle attività dei kit sfruttare. Microsoft e Kafeine inoltre dichiarato che i ceppi Crowti comunicano attraverso I2P e Tor.

Le vittime del ransomeware sono forniti un file di immagine con i dettagli su come effettuare il pagamento. Di solito questo è attraverso Bitcoin o un altro servizio di pagamento. Tale informazione viene fornito con le istruzioni su come installare il browser Tor.

La recente attività Crowti arriva dopo un periodo di tranquillità dallo scorso ottobre, quando Microsoft riportato 4000 infezioni del sistema, più di 70 % di cui l'essere negli Stati Uniti. Cryptowall 2.0 è stato accettato come una versione della famiglia ransomware con le funzionalità di rilevamento a 64 bit, dove l'eseguibile è stato coperto sotto strati di crittografia e di comunicazione attraverso le reti di privacy.

Rapporto di Cisco su Cryptowall 3.0, ieri rilasciato, include i dettagli sui rispettivi stadi decrittazione, la costruzione binari, la creazione dei processi e gli URL utilizzati per la comunicazione. Proprio come con le versioni precedenti, il segreto sta nel l'arresto del venditore attacco iniziale, non importa se si tratta di drive-by download o una e-mail di phishing.

Fondamentale per la lotta ransomeware e la sua prevenzione dal tenere i dati dell'utente in ostaggio è il blocco dei messaggi di posta elettronica di phishing iniziali, il blocco delle attività di processo dannoso e il blocco delle connessioni di rete a contenuti dannosi. Ulteriore fondamentale per superare gli attacchi ai dati dell'utente è la creazione di backup di serio e regolare e ripristinare la politica. In questo modo verranno salvati i dati importanti, non importa se il dispositivo è oggetto di disastri naturali o attacchi dannosi attraverso la rete.