Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Opisi virusa, 09.01.2015, 09:04 AM

Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Stručnjaci za kompjutersku bezbednost zabrinuti su zbog pojave nove, unapređene verzije malvera CryptoWall koji je poznat po tome što šifruje fajlove na računarima koje inficira, tražeći od žrtava da plate dešifrovanje fajlova.

CryptoWall je bio drugorazredni naslednik poznatog ransomwarea CryptoLocker, koji je uglavnom nestao sa scene kada je ugašena bot mreža Gameover Zeus koja je korišćena za njegovo širenje.

Ransomwarei su pretnja korisnicima računara više od jedne decenije. Iako se jedno vreme činilo da ransomwaeri nisu više pretnja kakva su bili kada su se pojavili, poslednjih godina sajber kriminalci su uspeli da preporode ovu prevaru sa iznenađujućim uspehom.

Metoda koju koriste današnji ransomwarei uglavnom uključuje šifrovanje fajlova da bi se od žrtava tražilo da plate otkup za njihovo dešifrovanje.

Dell SecureWorks je u avgustu prošle godine izneo procenu da je CryptoWall inficirao oko 600000 računara tokom prethodnih šest meseci, kao i da su kriminalci uspeli da naplate otkup u vrednosti od oko milion dolara. Suma koja se traži od ucenjenih korisnika se kreće od 100 do 500 dolara.

CryptoWall koristi jaku kriptografiju javnog ključa, šifrujući fajlove sa određenim ekstenzijama. Žrtve nemaju mnogo izbora ako ne plate otkup. Jedini način da se suprotstave kriminalcima je da vrate fajlove iz backupa, ukoliko ga imaju.

Istraživači iz Cisco Talos Security Intelligence and Research Group su analizirali novu verziju malvera Cryptowall koja donosi neka poboljšanja koja otežavaju otkrivanje i proučavanje malvera.

“Njegov razvoj se nastavlja”, kaže Erl Karter, istraživač Cisco Talosa. “Sajber kriminalci ga izgleda neprestano menjaju pokušavajući da ga učine efikasnijim.”

On radi i na 32-bitnim i 64-bitnim sistemima, što povećava njegove šanse bez obzira kakav računar zarazi.

Uzorak malvera koji su analizirali istraživači poslat je emailom, u “.zip” fajlu. Taj atačment sadrži exploit koji koristi ranjivost CVE-2013-3660 koja omogućava preuzimanje kontrole nad računarom.

Ako je otvoren, CryptoWall dešifruje samo manji deo svog koda koji proverava da li je pokrenut u virtualnom okruženju. On se neće dešifrovati u potpunosti ako otkrije da je pokrenut na virtualnoj mašini.

Moguće je odbraniti se od CryptoWalla dodavanjem lažnih unosa u fajl sistem da bi se malver prevario da je u virtuelnom okruženju, kaže Karter ali dodaje da to verovatno nije način da se dugoročno spreče takve infekcije.

Ako CryptoWall proceni da je bezbedan, on se dešifruje i zatim komunicira sa svojim serverima za komandu i kontrolu koristeći Tor, zbog čega je teško pratiti tu komunikaciju.

Karter kaže da istraživači ne mogu videti IP adrese servera sa kojima se CryptoWall povezuje, čime je blokirana dalja istraga o serverima koji se koriste kao deo infrastrukture malvera.

Više tehničkih detalja o ovome možete naći na Cisco blogu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje

Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova

Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova

Istraživači iz kompanije Kaspersky otkrili su novog trojanca nazvanog Efimer, koji zamenjuje adrese kripto novčanika direktno u clipboardu. Jedan k... Dalje

Malver JSCEAL se širi preko oglasa na Facebooku

Malver JSCEAL se širi preko oglasa na Facebooku

Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptoval... Dalje

Matanbuchus 3.0: Povratak opasnog malvera

Matanbuchus 3.0: Povratak opasnog malvera

Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje