Видео: APAC Webinar: Anatomy of An Attack: Emotet, Trickbot, Ryuk Ransomware (Октября 2024)
Исследователи обнаружили новый вариант CryptoLocker Ransomware, который может заразить даже больше пользователей, чем оригинальная версия.
Исследователи из Trend Micro недавно написали в своем блоге Security Intelligence блог о том, что преступники, стоящие за CryptoLocker, превратили вымогатель из трояна в червя, распространяющего USB. Как троянец, CryptoLocker не мог распространяться сам по себе для заражения компьютеров пользователей. Пользователи полагались на то, чтобы открыть вложение электронной почты или щелкнуть ссылку в письме, чтобы выполнить и установить себя на компьютер. Однако, как червь, CryptoLocker может копировать себя и распространяться через съемные диски.
В случае, если вам нужно обновить, CryptoLocker является вымогателем. Это тип вредоносного ПО, которое блокирует файлы на вашем компьютере и требует выкуп, чтобы разблокировать файлы. Файлы зашифрованы, поэтому удаление вредоносных программ не освобождает файлы. Единственный способ вернуть файлы - заплатить преступникам любую сумму, которую они выберут (недавние атаки предъявляют особые требования к биткойнам), или просто стереть компьютер и восстановить данные из резервной копии.
Trend Micro утверждает, что новая версия вредоносного ПО является активатором для таких программ, как Adobe Photoshop и Microsoft Office, на одноранговых (P2P) сайтах для обмена файлами. Согласно сообщению в блоге, загрузка вредоносного ПО на сайты P2P позволяет злоумышленникам легко заражать системы, не беспокоясь о спам-сообщениях.
«Плохим парням, стоящим за этим новым вариантом, не нужно проводить кампанию по рассылке спама по электронной почте, чтобы распространять свои вредоносные программы», - сказал Грэм Клули, исследователь безопасности.
Как червь заражает
Представьте себе простой сценарий. Вы одалживаете USB-накопитель для перемещения файла с одного компьютера на другой или для передачи кому-либо копии файла. Если этот диск был заражен червем CryptoLocker, все компьютеры, к которым подключен диск, будут заражены. И если этот компьютер подключен к сети, работа Cryptolocker может искать другие подключенные диски.
«Для CryptoLocker может быть проще заразить компьютеры в вашей организации», - сказал Клули.
Однако есть один хороший признак этого нового варианта. Исходная вредоносная программа CryptoLocker использовала алгоритм генерации домена (DGA) для периодической генерации большого количества доменных имен для подключения к серверу управления и контроля (C & C). С другой стороны, новая версия CryptoLocker не использует DGA, поскольку URL-адреса командно-контрольных серверов жестко запрограммированы в Ransomware, сообщает Trend Micro. Это облегчает обнаружение и блокирование связанных вредоносных URL-адресов.
Однако это может означать, что вредоносное ПО все еще находится в процессе доработки и улучшения, и более поздние версии червя могут иметь возможность DGA, предупреждает Trend Micro. После включения DGA будет сложнее обнаружить и заблокировать вымогателей.
Что я делаю?
У Trend Micro и Cluley было несколько рекомендаций о том, что делать:
Пользователи должны избегать использования сайтов P2P для получения копий программного обеспечения и придерживаться официальных или авторитетных сайтов.
Пользователи также должны быть крайне осторожны при подключении USB-накопителей к своим компьютерам. Если вы нашли что-то, лежащее рядом, не подключайте его, чтобы увидеть, что на нем может быть.
«Убедитесь, что вы следуете правилам безопасных вычислений и внимательно относитесь к тому, что вы запускаете на своих компьютерах, и не забывайте постоянно обновлять антивирус и свое мнение о себе», - сказал Клули.
