r   e   k   l   a   m   a
r   e   k   l   a   m   a

Płacisz okup, ulepszasz malware. CryptoWall 4.0 już penetruje firewalle

Strona główna AktualnościBEZPIECZEŃSTWO

Spośród szkodników typu ransomware największe szkody w naszym kraju wyrządził CryptoWall – i niestety póki co nie ma innej metody na odzyskanie zaszyfrowanych nim danych, niż zapłacenie okupu, wynoszącego równowartość 500 dolarów w bitcoinach. Jeśli jednak myśleliście, że najgorsze już za nami i nowe generacje oprogramowania zabezpieczającego pozwolą wam spać spokojnie, bez obaw, że utracicie swoje dane (nie mówiąc już o ich upublicznieniu), to mamy złą wiadomość. Duńscy badacze z firmy Heimdall Security przechwycili pierwsze próbki CryptoWalla 4.0. Nowa wersja szkodnika sprawnie obchodzi zabezpieczenia obecnie stosowanych narzędzi ochronnych.

Nowa odmiana CryptoWalla została „udostępniona” użytkownikom na całym świecie. Wykorzystuje odchudzony instalator (dropper), pozbawiony własnych exploitów – najwyraźniej cyberprzestępcy zdecydowali się na rozprowadzanie ransomware głównie za pomocą niezależnie rozwijanych, gotowych zestawów exploitowych, takich jak Nuclear czy Angler. Wciąż też stosowany jest wielostopniowy autorski mechanizm szyfrowania szkodnika, dzięki któremu udaje się uniknąć alarmu podczas skanowania systemu przez oprogramowanie antywirusowe.

Znaczącą innowacją jest nowy protokół komunikacyjny, który został zaprojektowany tak, by uniknąć wykrycia przez zapory sieciowe. Duńscy badacze ostrzegają, że CryptoWall 4.0 jest w stanie przeniknąć nawet zaawansowane biznesowe firewalle drugiej generacji, by połączyć się z zarażonymi malware hostami, przechowującymi jego bojowy ładunek. Hosty te łączą zarażone systemy w botnet i wykorzystują go do rozpowszechniania złośliwego oprogramowania na inne komputery. Głównym wektorem infekcji wciąż pozostają ataki spamowe i zarażone strony WWW.

r   e   k   l   a   m   a

Zastosowano także ciekawą technikę społecznej inżynierii. Wcześniej użytkownik przynajmniej wiedział, co zostało zaszyfrowane. Teraz CryptoWall 4.0 szyfruje nie tylko zawartość plików, ale także ich nazwy, by zwiększyć dezorientację ofiar i wywrzeć na nich skuteczniej presję. Zdaniem ekspertów z Heimdall Security zwiększa to skuteczność ataku, nakłaniając użytkowników do tak szybkiego odzyskania danych jak to jest możliwe.

Ważna wiadomość, przedstawiana ofiarom, jest jednak napisana w tonie przyjaznym i pocieszającym, w prosty sposób wyjaśniając, co się stało i co można zrobić. Jak zwykle ofiara otrzymuje unikatowe konto w sieci Bitcoin, na które może przelać wskazaną kwotę. Odwiedzając podany adres kryptousługi ukrytej w sieci Tor, otrzyma z niej po weryfikacji transakcji klucz prywatny RSA, za pomocą którego dane zostaną odszyfrowane.

Ransomware stało się w ten sposób poważnym biznesem, ze sprawdzonym modelem monetyzacji, w którym sporą część zarobków inwestuje się w ulepszanie malware. Jeśli cybeprzestępcy nie popełnią błędów pozwalających ujawnić ich tożsamość, nie ma póki co żadnej nadziei na wygranie tego wyścigu zbrojeń. Użytkownikom pozostaje zachowanie zasad bezpieczeństwa i higieny pracy z danymi pochodzącymi z Internetu oraz tworzenie kopii zapasowych, najlepiej w heterogenicznym linuksowym środowisku z linuksowymi serwerami – kopiowanie ich na zmapowany w Windows dysk sieciowy naprawdę nie jest tu żadnym rozwiązaniem.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.