Cryptowall ransomware

A hirdetésekbe rejtett káros kódtartalom egyre többször okoz problémát. Ha megbízhatónak tartott weboldalakon jelenik meg, a felhasználók kevésbé gyanakodnak rendellenességre. A Cisco a CWS (Cloud Web Security) statisztikai elemzése arra derített fényt, hogy egy új zsaroló program terjesztésére hirdetéseket használtak fel, olyan jól ismert weboldalakon is, mint amilyen például a Facebook, a Disney tulajdonában lévő Go.com, vagy a The Guardian hírportál. A bűnözők hirdetéseikkel ártalmas weblapokra irányítják a felhasználókat. Amikor a böngészőben egy ilyen „hirdetést” választottak ki, akkor egy WordPress platformra épülő feltört weblap jelent meg, amelyen a RIG Exploit Kit (EK) vette át a főszerepet. Az akcióban összesen 90 domain kapott szerepet. A RIG EK célja, hogy sebezhető szoftverekben biztonsági réseket találjon. Ha az adott rendszeren a Flash Player, a Java vagy a Silverlight régebbi verziói is futottak, akkor azok sérülékenységeinek kihasználásával egy Cryptowall trójait telepített fel a kiszemelt PC-kre.

A Cryptowall a hírhedt Cryptolocker trójai egyik utóda. Célja is hasonló, azaz a felhasználók megzsarolásával szerezzenek pénzt a bűnözők. A számítógépeken található fontos állományokat titkosítja, majd pénzt követel helyreállításért. Az új trójai a szokásosnál több időt ad a váltságdíj kifizetésére, de az összeget az idő előrehaladtával emeli. A váltságdíj kifizetését TOR (The Onion Router)-hálózaton keresztül biztosítja, ezért egy kliensprogramot kell telepítenie a felhasználónak, amelyben a trójai természetesen segíti.

Forrás és további információk:

http://blogs.cisco.com/security/rig-exploit-kit-strikes-oil/

http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-061923-2824-99

http://www.securityweek.com/rig-exploit-kit-used-deliver-cryptowall-ransomware