CryptoWall 4.0


2015. november 6. 08:48

CH azonosító

CH-12751

Angol cím

CryptoWall 4.0

Felfedezés dátuma

2015.11.04.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A CryptoWall új variánsát fedezték fel. A legnagyobb változás az, hogy már nem csak a fájl tartalmát hanem a nevét is titkosítja a program. Az áldozat így nem tudja melyik fájlokat kell helyreállítania, ez által pedig az áldozatnak még nagyobb kellemetlenséget képes okozni.

Leírás

Változások:

1. Az új variáns továbbra is fejlett technikákkal képes elbújni az antivirus szoftverek elől, viszont nagymértében javultak a kommunikációs képességei is. Tartalmaz egy módosított protokollt, amivel megnehezíti akár második generációs vállalati tűzfalak általi detektálást. Ez a sikeres CryptoWall 3.0 támadások számaihoz képest jelentős javulást okozhat.

2. Változott a fertőzött számítógépen elhelyezett szöveges üzenet is. Az új fájlok nevei:

  • HELP_YOUR_FILES.TXT
  • HELP_YOUR_FILES.HTML
  • HELP_YOUR_FILES.PNG

Egy példa a megjelenésre: C: Documents and Settings User Desktop HELP_YOUR_FILES.TXT
Az üzenetet egy gyakran ismételt kérdések listát tartalmaz.

3. A kártevő a titkosított állomány nevét is elkódolja, így képes még jobban összezavarni az áldozatokat. A felismerhetetlen állományok gyors visszaállításnak reményében, növelik a fizetési hajlandóságot. Ez a technika a számítógépes bűnözők egyik jól működő “üzleti fogása”. 

Ami nem változott:

  • A CryptoWall 4.0 továbbra is TOR hálózatot használ a fizetési szolgáltatásához.
  • A payload letöltéséhez több weboldal is rendelkezésére áll. Ezek az oldalak továbbá trójaikat is tartalmaznak, amivel a számítógép robothálózat részévé válhat, és más gépeket fertőzhet meg.
  • Az infrastruktúra változatlan maradt.
  • Az antivirus detektálási arány továbbra is nagyon alacsony.
  • A CryptoWall 4.0  fertőzött weboldalakon, és SPAM leveleken keresztül fertőz.

Megoldás

  • Tartsa rendszerét naprakészen, mindig telepítse a legújabb frissítéseket
  • Készítsen gyakran biztonsági mentést
  • Ne tartson fontos információkat a számítógépén
  • Ne nyisson meg ismeretlen feladótól érkező, vagy nem megbízható (SPAM) emaileket
  • Ne töltse le, vagy nyissa meg ezen emailek mellékletét
  • Használjon ransomware / Cryptoware detektáló, és blokkoló termékeket

Támadás típusa

Crypthographical (Titkosítás)
Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: heimdalsecurity.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »