Video: CryptoLocker (Crilock) File Encrypting Ransomware [OBSOLETED] (Octombrie 2024)
Cercetătorii au descoperit o nouă variantă a ransomware-ului CryptoLocker care ar putea infecta chiar și mai mulți utilizatori decât versiunea inițială.
Infractorii din spatele CryptoLocker par să fi modificat ransomware-ul dintr-un troian într-un vierme care răspândește USB, au scris recent cercetătorii de la Trend Micro pe blogul său de securitate. Ca troian, CryptoLocker nu s-a putut răspândi singur pentru a infecta calculatoarele utilizatorilor. S-a bazat pe utilizatori pentru a deschide un atașament de e-mail sau pentru a face clic pe un link dintr-un e-mail, pentru a executa și instala singur. Ca vierme, însă, CryptoLocker se poate reproduce și răspândi prin intermediul unor unități amovibile.
În cazul în care aveți nevoie de o actualizare, CryptoLocker este ransomware. Acesta este un tip de malware care blochează fișierele pe computer și necesită răscumpărare pentru a debloca fișierele. Fișierele sunt criptate, astfel încât eliminarea malware-ului nu eliberează fișierele. Singura modalitate de a recupera fișierele este de a plăti infractorilor orice sumă selectează (atacurile recente au prezentat cereri pentru BitCoins) sau pur și simplu ștergeți computerul și restabiliți din backup.
Noua versiune a programului malware se preface a fi un activator pentru software precum Adobe Photoshop și Microsoft Office pe site-urile de partajare a fișierelor peer-to-peer (P2P), a spus Trend Micro. Încărcarea programului malware pe site-urile P2P le permite băieților răi să infecteze cu ușurință sistemele fără să vă deranjeze mesajele spam, potrivit postării de pe blog.
"Cei răi din spatele acestei noi variante nu trebuie să explodeze o campanie de e-mail spam pentru a-și răspândi malware-ul", a spus Graham Cluley, un cercetător de securitate.
Cum infectează un vierme
Imaginați-vă un scenariu simplu. Împrumutați o unitate USB pentru a muta un fișier de la un computer la altul sau pentru a oferi cuiva o copie a fișierului. Dacă acea unitate a fost infectată cu viermele CryptoLocker, orice computer cu care a fost conectată unitatea ar fi infectat. Și dacă computerul este conectat la o rețea, opera Cryptolocker poate căuta alte unități conectate.
"S-ar putea face mai ușor pentru CryptoLocker să infecteze computerele din întreaga organizație", a spus Cluley.
Există însă un semn bun despre această nouă variantă. Programul malware original CryptoLocker a folosit algoritmul de generare a domeniilor (DGA) pentru a genera periodic un număr mare de nume de domeniu pentru a se conecta la serverul de comandă și control (C&C). Noua versiune de CryptoLocker, pe de altă parte, nu folosește DGA ca URL a serverelor de comandă și control sunt hardcodate în ransomware, a spus Trend Micro. Acest lucru facilitează detectarea și blocarea adreselor URL rău intenționate.
Cu toate acestea, asta ar putea însemna doar faptul că malware-ul este încă în proces de a fi perfecționat și îmbunătățit, iar versiunile ulterioare ale viermei pot avea capacitatea DGA, a avertizat Trend Micro. Odată ce include DGA, ar fi mai dificil să detectăm și să blocheze ransomware-ul.
Ce fac?
Trend Micro și Cluley au avut câteva recomandări cu privire la ce să facă:
Utilizatorii ar trebui să evite să folosească site-urile P2P pentru a obține copii ale software-ului și a lipi site-urilor oficiale sau de renume.
Utilizatorii ar trebui să fie, de asemenea, extrem de atenți la conectarea unităților USB la calculatoarele lor. Dacă ați găsit unul întins, nu îl conectați pentru a vedea ce poate fi.
"Asigurați-vă că urmați practicile de calcul sigure și sunteți atenți la ceea ce rulați pe calculatoarele dvs. și nu uitați să vă păstrați virusul anti-virus actualizat și înțelepciunile despre voi", a spus Cluley.
