En helt ny, nerbantad version av Cryptowall finns nu. Det finns inga inbyggda exploits, vilket är en bekräftelse på den växande trenden för Ransomware att spridas huvudsakligen via utnyttja kit. Satserna, bland vilka Nuclear, Angler och Hanjuan, har nyligen införlivar med framgång Flash Utnyttjar med en blandning av Ransomware och malware.
I går, Cisco forskare har publicerat en rapport om ett nytt prov granskats av Talos forskargrupp. Forskarna tror att detta prov är en tredje generationens Cryptowall, namnges Crowti. Krypteringsnivåerna Cryptowall 3.0 har sett i tidigare versioner av Ransomware. Det Ransomware griper filer som lagras på en komprometterad dator och krypterar dem, ber om en lösen i utbyte mot en krypteringsnyckel som kommer att släppa dessa filer.
Precis som med de tidigare versionerna, Cryptowall 3.0 kommunicerar genom anonymitet nätverk såsom I2P för att bevara den hemliga karaktär av kommunikationen mellan de infekterade datorer och kommandot. denna version, dock, har tagit bort många funktioner förutom användningen av flera bedrifter i dropper. Bland dem är förmågan för omkoppling mellan den 32-bitars och 64-bitars operation, och avlägsnande av en check om koden viral maskin exekverar, som en indikation på att programvara eller en säkerhetsforskare är på andra sidan. Cisco blev förvånad att upptäcka i provet en död kod och API-anrop som är värdelösa.
Enligt Cisco rapport, avsaknaden av bedrifter i dropper är en indikation på att skadliga program fokuserar mer på att använda utnyttja kit som en attack leverantör, som funktionaliteten hos de utnyttja kit kan användas för att få systemet eskalering av behörigheter. Om det inte finns någon eskalering av behörigheter som gör försök att stänga många av de aktiverade säkerhetsfunktioner, är det troligt att systemet misslyckas. Cisco bekräftade att dekryptering sker på tre steg som dropper läser, dekrypterar och lagrar koden innan du kör PE-fil som har Ransomware.
Microsoft publicerade också en forskning om Cryptowall 3.0 i januari. Några dagar efter inledningen av det nya året, företaget märkte en kort spik i aktivitet, bekräftades senare av Kafeine, en forskare från Frankrike som specialiserat sig på aktiviteten av utnyttja kit. Microsoft och Kafeine uppgav vidare att Crowti stammar kommunicerar via I2P och Tor.
Offren för ransomware finns en bildfil med information om hur man gör betalningen. Vanligtvis det är genom Bitcoin eller annan betalningstjänst. Denna information kommer med instruktioner om hur du installerar Tor webbläsaren.
Den Crowti senaste aktiviteten kommer efter en period av tystnad sedan oktober förra året när Microsoft rapporterade 4000 infektioner i systemet, mer än 70 % varav varelse i USA. Cryptowall 2.0 accepterades som en version av Ransomware familjen med 64-bitarsdetektionskapacitet, där den körbara täcktes enligt krypteringsskikten och kommunikation genom integritets nätverk.
Ciscos rapport om Cryptowall 3.0, utfärdat igår, innehåller uppgifter om respektive dekryptering stegen, den binära byggnaden, skapandet av processer och webbadresserna som används för kommunikationen. Precis som med de senaste versionerna, hemligheten ligger i upphörande av den initiala attacken försäljaren, oavsett om det är drive-by download eller phishing e-post.
Kritisk till ransomware bekämpa och dess förebyggande av att hålla användarens data som gisslan är blockering av initiala phishing e-post, blockering av skadlig process aktivitet och blockering av nätverksanslutningar till skadligt innehåll. Ytterligare kritisk till att övervinna anfall mot användarens data är inrättandet av allvarliga och regelbunden säkerhetskopiering och återställning policy. På så sätt viktiga data sparas, oavsett om enheten är föremål för naturkatastrofer eller angrepp över nätverket.