Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Opisi virusa, 09.01.2015, 09:04 AM

Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Stručnjaci za kompjutersku bezbednost zabrinuti su zbog pojave nove, unapređene verzije malvera CryptoWall koji je poznat po tome što šifruje fajlove na računarima koje inficira, tražeći od žrtava da plate dešifrovanje fajlova.

CryptoWall je bio drugorazredni naslednik poznatog ransomwarea CryptoLocker, koji je uglavnom nestao sa scene kada je ugašena bot mreža Gameover Zeus koja je korišćena za njegovo širenje.

Ransomwarei su pretnja korisnicima računara više od jedne decenije. Iako se jedno vreme činilo da ransomwaeri nisu više pretnja kakva su bili kada su se pojavili, poslednjih godina sajber kriminalci su uspeli da preporode ovu prevaru sa iznenađujućim uspehom.

Metoda koju koriste današnji ransomwarei uglavnom uključuje šifrovanje fajlova da bi se od žrtava tražilo da plate otkup za njihovo dešifrovanje.

Dell SecureWorks je u avgustu prošle godine izneo procenu da je CryptoWall inficirao oko 600000 računara tokom prethodnih šest meseci, kao i da su kriminalci uspeli da naplate otkup u vrednosti od oko milion dolara. Suma koja se traži od ucenjenih korisnika se kreće od 100 do 500 dolara.

CryptoWall koristi jaku kriptografiju javnog ključa, šifrujući fajlove sa određenim ekstenzijama. Žrtve nemaju mnogo izbora ako ne plate otkup. Jedini način da se suprotstave kriminalcima je da vrate fajlove iz backupa, ukoliko ga imaju.

Istraživači iz Cisco Talos Security Intelligence and Research Group su analizirali novu verziju malvera Cryptowall koja donosi neka poboljšanja koja otežavaju otkrivanje i proučavanje malvera.

“Njegov razvoj se nastavlja”, kaže Erl Karter, istraživač Cisco Talosa. “Sajber kriminalci ga izgleda neprestano menjaju pokušavajući da ga učine efikasnijim.”

On radi i na 32-bitnim i 64-bitnim sistemima, što povećava njegove šanse bez obzira kakav računar zarazi.

Uzorak malvera koji su analizirali istraživači poslat je emailom, u “.zip” fajlu. Taj atačment sadrži exploit koji koristi ranjivost CVE-2013-3660 koja omogućava preuzimanje kontrole nad računarom.

Ako je otvoren, CryptoWall dešifruje samo manji deo svog koda koji proverava da li je pokrenut u virtualnom okruženju. On se neće dešifrovati u potpunosti ako otkrije da je pokrenut na virtualnoj mašini.

Moguće je odbraniti se od CryptoWalla dodavanjem lažnih unosa u fajl sistem da bi se malver prevario da je u virtuelnom okruženju, kaže Karter ali dodaje da to verovatno nije način da se dugoročno spreče takve infekcije.

Ako CryptoWall proceni da je bezbedan, on se dešifruje i zatim komunicira sa svojim serverima za komandu i kontrolu koristeći Tor, zbog čega je teško pratiti tu komunikaciju.

Karter kaže da istraživači ne mogu videti IP adrese servera sa kojima se CryptoWall povezuje, čime je blokirana dalja istraga o serverima koji se koriste kao deo infrastrukture malvera.

Više tehničkih detalja o ovome možete naći na Cisco blogu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje