En helt ny, slanket versjon av Cryptowall er nå tilgjengelig. Det har ingen innebygde exploits, som er en bekreftelse på den økende trenden for ransomware som skal spres hovedsakelig via utnytte kits. Pakkene, blant annet Nuclear, Angler og Hanjuan, har nylig blitt innlemme med suksess Flash Utnytter med en blanding av ransomware og malware.
I går, Cisco forskere har publisert en rapport om en ny prøve undersøkt av Talos forskerteam. Forskerne tror at dette utvalget er et tredje-generasjons Cryptowall, heter Crowti. Krypteringsnivåer Cryptowall 3.0 har blitt sett i tidligere versjoner av ransomware. At ransomware griper filer som er lagret på en kompromittert datamaskin og krypterer dem, ber om en løsepenge i bytte av en krypteringsnøkkel som vil frigi disse filene.
Akkurat som med de tidligere versjonene, Cryptowall 3.0 kommuniserer gjennom anonymitet nettverk som I2P for å bevare den hemmelige natur av kommunikasjonen mellom de infiserte datamaskiner og lede. Denne versjonen, men, har fjernet mange funksjoner i tillegg til bruk av flere exploits i dropper. Blant dem er muligheten for å bytte mellom 32-bit og 64-bit drift, og fjerning av en sjekk om koden er viral maskin utfører, som en indikasjon på at programvare eller en sikkerhetsforsker er på den andre siden. Cisco ble overrasket over å oppdage i prøven en død kode og API-kall som er ubrukelig.
Ifølge Cisco-rapporten, mangel på exploits i dropper er en indikasjon på at malware forfattere er fokusert mer på å bruke utnytte kits som et angrep leverandør, som funksjonaliteten til de utnytte kits kan brukes til å få systemet privilegieopptrapping. Hvis det ikke er privilegieopptrapping som gjør forsøk på å slå av mange av de aktiverte sikkerhetsfunksjonene, Det er sannsynlig at systemet svikter. Cisco bekreftet at dekryptering skjer på tre etapper som dropper leser, dekrypterer og deretter lagrer koden før du utfører PE filen som har ransomware.
Microsoft har også publisert en forskningsrapport på Cryptowall 3.0 i januar. Et par dager etter starten av det nye året, selskapet merket en kort topp i aktivitet, senere bekreftet av Kafeine, en forsker fra Frankrike som spesialiserer seg på aktiviteten til de utnytte kits. Microsoft og Kafeine videre uttalt at Crowti stammer kommuniserer gjennom I2P og Tor.
Ofrene for ransomeware er gitt en bildefil med detaljer om hvordan du gjør betalingen. Vanligvis det er gjennom Bitcoin eller annen betalingstjeneste. At informasjonen kommer med instruksjoner om hvordan du installerer Tor leseren.
Den Crowti siste aktivitet kommer etter en periode med stillhet siden oktober i fjor da Microsoft rapporterte 4000 infeksjoner i systemet, mer enn 70 % som å være i USA. Cryptowall 2.0 ble akseptert som en versjon av ransomware familie med 64-bits deteksjon, hvor den kjør var dekket under krypterings lag og kommunikasjon gjennom personvern nettverk.
Ciscos rapport om Cryptowall 3.0, utstedt i går, inneholder informasjon om de respektive dekryptering stadier, det binære bygning, etablering av prosesser og de URLene for kommunikasjonen. Akkurat som med de siste versjonene, hemmeligheten ligger i stopp av første angrepet leverandør, uansett om det er drive-by download eller en phishing e-post.
Kritisk til ransomeware bekjempe og forebygging fra å holde brukerens data som gissel er blokkering av første phishing e-post, blokkering av skadelig prosess aktivitet og blokkering av nettverksforbindelser til ondsinnet innhold. Videre kritisk til de vinne angrepene brukerens data er etablering av alvorlig og jevnlig sikkerhetskopiering og gjenoppretting politikk. På den måten de viktige data blir lagret, uansett om enheten er gjenstand for naturkatastrofer eller ondsinnede angrep på tvers av nettverket.