Versão Light de Cryptowall 3.0, Nenhum Exploits Built-in

Versão Light de Cryptowall 3.0, Nenhum Exploits Built-in

Uma nova marca, versão simplificada do Cryptowall já está disponível. Ele apresenta nenhum problema de segurança embutidos, que é mais uma confirmação da tendência crescente de ransomware para ser espalhado principalmente via exploit kits. Os kits, entre os quais Nuclear, Angler e Hanjuan, Recentemente, foram incorporando com sucesso em Flash Exploits com uma mistura de ransomware e malware.

Ontem, os pesquisadores da Cisco publicou um relatório sobre uma nova amostra examinada pela equipe de pesquisa Talos. Os pesquisadores acreditam que esta amostra é a terceira geração de Cryptowall, nomeado Crowti. Os níveis de criptografia de Cryptowall 3.0 ter sido visto nas versões anteriores do ransomware. Isso ransomware agarra arquivos que são armazenados em um computador comprometido e os criptografa, pedindo um resgate em troca de uma chave de criptografia que vai lançar esses arquivos.

Assim como com as versões anteriores, Cryptowall 3.0 está se comunicando através de redes de anonimato, como I2P, a fim de preservar a natureza secreta da comunicação entre os computadores infectados e o comando. Esta versão, contudo, removeu muitos recursos além do uso de múltiplos exploits na conta-gotas. Entre elas está a capacidade de alternar entre o 32-bit e a operação de 64 bits, ea remoção de uma verificação se o código é máquina viral execução, como uma indicação de que um software ou um pesquisador de segurança é por outro lado. Cisco ficou surpreso ao descobrir na amostra um código e API mortas chamadas que são inúteis.

Segundo o relatório da Cisco, a falta de exploits em conta-gotas é uma indicação de que os autores de malware estão focados mais sobre o uso dos kits exploram como um fornecedor de ataque, como a funcionalidade dos kits de exploração podem ser usadas para obter o sistema de escalonamento de privilégio. Se não houver um escalonamento de privilégios que faz tentativas para desativar muitas das características de segurança ativadas, é provável que o sistema falhe. Cisco confirmou que a descriptografia está acontecendo em três fases como a conta-gotas lê, decifra e armazena o código antes de executar o arquivo PE que tem o ransomware.

Microsoft também publicou uma pesquisa sobre Cryptowall 3.0 em janeiro. Poucos dias após o início do novo ano, a empresa percebeu um curto pico de atividade, mais tarde confirmado por Kafeine, um pesquisador da França, que é especializada na atividade dos kits exploram. Microsoft e Kafeine afirmou ainda que as tensões estão se comunicando através Crowti I2P e Tor.

As vítimas do ransomeware são fornecidos um arquivo de imagem com detalhes sobre como fazer o pagamento. Normalmente, isso é através de Bitcoin ou outro serviço de pagamento. Essa informação vem com instruções sobre como instalar o navegador Tor.

A atividade recente Crowti surge após um período de tranquilidade desde outubro passado, quando a Microsoft informou 4000 infecções do sistema, mais do que 70 % dos quais são nos Estados Unidos. Cryptowall 2.0 foi aceito como uma versão da família de ransomware com as capacidades de detecção de 64-bit, onde o executável foi coberto por camadas de criptografia e de comunicação por meio de redes de privacidade.

O relatório da Cisco em Cryptowall 3.0, ontem emitiu, inclui detalhes sobre as respectivas fases de decodificação, o edifício binário, a criação de processos e os URLs usados ​​para a comunicação. Assim como com as versões anteriores, o segredo está na parada do vendedor ataque inicial, não importa se é drive-by download ou um e-mail phishing.

Crítica ao combate ransomeware e sua prevenção da exploração dos dados do usuário como refém é o bloqueio de e-mails de phishing iniciais, o bloqueio da atividade do processo malicioso e o bloqueio de ligações de rede de conteúdo malicioso. Além disso crítica aos ataques superação para os dados do usuário é o estabelecimento de backup e restauração política séria e regular. Dessa forma os dados importantes serão salvos, não importa se o dispositivo é tema de desastres naturais ou ataques maliciosos na rede.