Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Opisi virusa, 09.01.2015, 09:04 AM

Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Stručnjaci za kompjutersku bezbednost zabrinuti su zbog pojave nove, unapređene verzije malvera CryptoWall koji je poznat po tome što šifruje fajlove na računarima koje inficira, tražeći od žrtava da plate dešifrovanje fajlova.

CryptoWall je bio drugorazredni naslednik poznatog ransomwarea CryptoLocker, koji je uglavnom nestao sa scene kada je ugašena bot mreža Gameover Zeus koja je korišćena za njegovo širenje.

Ransomwarei su pretnja korisnicima računara više od jedne decenije. Iako se jedno vreme činilo da ransomwaeri nisu više pretnja kakva su bili kada su se pojavili, poslednjih godina sajber kriminalci su uspeli da preporode ovu prevaru sa iznenađujućim uspehom.

Metoda koju koriste današnji ransomwarei uglavnom uključuje šifrovanje fajlova da bi se od žrtava tražilo da plate otkup za njihovo dešifrovanje.

Dell SecureWorks je u avgustu prošle godine izneo procenu da je CryptoWall inficirao oko 600000 računara tokom prethodnih šest meseci, kao i da su kriminalci uspeli da naplate otkup u vrednosti od oko milion dolara. Suma koja se traži od ucenjenih korisnika se kreće od 100 do 500 dolara.

CryptoWall koristi jaku kriptografiju javnog ključa, šifrujući fajlove sa određenim ekstenzijama. Žrtve nemaju mnogo izbora ako ne plate otkup. Jedini način da se suprotstave kriminalcima je da vrate fajlove iz backupa, ukoliko ga imaju.

Istraživači iz Cisco Talos Security Intelligence and Research Group su analizirali novu verziju malvera Cryptowall koja donosi neka poboljšanja koja otežavaju otkrivanje i proučavanje malvera.

“Njegov razvoj se nastavlja”, kaže Erl Karter, istraživač Cisco Talosa. “Sajber kriminalci ga izgleda neprestano menjaju pokušavajući da ga učine efikasnijim.”

On radi i na 32-bitnim i 64-bitnim sistemima, što povećava njegove šanse bez obzira kakav računar zarazi.

Uzorak malvera koji su analizirali istraživači poslat je emailom, u “.zip” fajlu. Taj atačment sadrži exploit koji koristi ranjivost CVE-2013-3660 koja omogućava preuzimanje kontrole nad računarom.

Ako je otvoren, CryptoWall dešifruje samo manji deo svog koda koji proverava da li je pokrenut u virtualnom okruženju. On se neće dešifrovati u potpunosti ako otkrije da je pokrenut na virtualnoj mašini.

Moguće je odbraniti se od CryptoWalla dodavanjem lažnih unosa u fajl sistem da bi se malver prevario da je u virtuelnom okruženju, kaže Karter ali dodaje da to verovatno nije način da se dugoročno spreče takve infekcije.

Ako CryptoWall proceni da je bezbedan, on se dešifruje i zatim komunicira sa svojim serverima za komandu i kontrolu koristeći Tor, zbog čega je teško pratiti tu komunikaciju.

Karter kaže da istraživači ne mogu videti IP adrese servera sa kojima se CryptoWall povezuje, čime je blokirana dalja istraga o serverima koji se koriste kao deo infrastrukture malvera.

Više tehničkih detalja o ovome možete naći na Cisco blogu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje