CryptoWall 4.0


2015. november 6. 08:48

CH azonosító

CH-12751

Angol cím

CryptoWall 4.0

Felfedezés dátuma

2015.11.04.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A CryptoWall új variánsát fedezték fel. A legnagyobb változás az, hogy már nem csak a fájl tartalmát hanem a nevét is titkosítja a program. Az áldozat így nem tudja melyik fájlokat kell helyreállítania, ez által pedig az áldozatnak még nagyobb kellemetlenséget képes okozni.

Leírás

Változások:

1. Az új variáns továbbra is fejlett technikákkal képes elbújni az antivirus szoftverek elől, viszont nagymértében javultak a kommunikációs képességei is. Tartalmaz egy módosított protokollt, amivel megnehezíti akár második generációs vállalati tűzfalak általi detektálást. Ez a sikeres CryptoWall 3.0 támadások számaihoz képest jelentős javulást okozhat.

2. Változott a fertőzött számítógépen elhelyezett szöveges üzenet is. Az új fájlok nevei:

  • HELP_YOUR_FILES.TXT
  • HELP_YOUR_FILES.HTML
  • HELP_YOUR_FILES.PNG

Egy példa a megjelenésre: C: Documents and Settings User Desktop HELP_YOUR_FILES.TXT
Az üzenetet egy gyakran ismételt kérdések listát tartalmaz.

3. A kártevő a titkosított állomány nevét is elkódolja, így képes még jobban összezavarni az áldozatokat. A felismerhetetlen állományok gyors visszaállításnak reményében, növelik a fizetési hajlandóságot. Ez a technika a számítógépes bűnözők egyik jól működő “üzleti fogása”. 

Ami nem változott:

  • A CryptoWall 4.0 továbbra is TOR hálózatot használ a fizetési szolgáltatásához.
  • A payload letöltéséhez több weboldal is rendelkezésére áll. Ezek az oldalak továbbá trójaikat is tartalmaznak, amivel a számítógép robothálózat részévé válhat, és más gépeket fertőzhet meg.
  • Az infrastruktúra változatlan maradt.
  • Az antivirus detektálási arány továbbra is nagyon alacsony.
  • A CryptoWall 4.0  fertőzött weboldalakon, és SPAM leveleken keresztül fertőz.

Megoldás

  • Tartsa rendszerét naprakészen, mindig telepítse a legújabb frissítéseket
  • Készítsen gyakran biztonsági mentést
  • Ne tartson fontos információkat a számítógépén
  • Ne nyisson meg ismeretlen feladótól érkező, vagy nem megbízható (SPAM) emaileket
  • Ne töltse le, vagy nyissa meg ezen emailek mellékletét
  • Használjon ransomware / Cryptoware detektáló, és blokkoló termékeket

Támadás típusa

Crypthographical (Titkosítás)
Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: heimdalsecurity.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »