CryptoWall 4.0

CH azonosító

CH-12751

Angol cím

CryptoWall 4.0

Felfedezés dátuma

2015.11.04.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A CryptoWall új variánsát fedezték fel. A legnagyobb változás az, hogy már nem csak a fájl tartalmát hanem a nevét is titkosítja a program. Az áldozat így nem tudja melyik fájlokat kell helyreállítania, ez által pedig az áldozatnak még nagyobb kellemetlenséget képes okozni.

Leírás

Változások:

1. Az új variáns továbbra is fejlett technikákkal képes elbújni az antivirus szoftverek elől, viszont nagymértében javultak a kommunikációs képességei is. Tartalmaz egy módosított protokollt, amivel megnehezíti akár második generációs vállalati tűzfalak általi detektálást. Ez a sikeres CryptoWall 3.0 támadások számaihoz képest jelentős javulást okozhat.

2. Változott a fertőzött számítógépen elhelyezett szöveges üzenet is. Az új fájlok nevei:

  • HELP_YOUR_FILES.TXT
  • HELP_YOUR_FILES.HTML
  • HELP_YOUR_FILES.PNG

Egy példa a megjelenésre: C: Documents and Settings User Desktop HELP_YOUR_FILES.TXT
Az üzenetet egy gyakran ismételt kérdések listát tartalmaz.

3. A kártevő a titkosított állomány nevét is elkódolja, így képes még jobban összezavarni az áldozatokat. A felismerhetetlen állományok gyors visszaállításnak reményében, növelik a fizetési hajlandóságot. Ez a technika a számítógépes bűnözők egyik jól működő “üzleti fogása”. 

Ami nem változott:

  • A CryptoWall 4.0 továbbra is TOR hálózatot használ a fizetési szolgáltatásához.
  • A payload letöltéséhez több weboldal is rendelkezésére áll. Ezek az oldalak továbbá trójaikat is tartalmaznak, amivel a számítógép robothálózat részévé válhat, és más gépeket fertőzhet meg.
  • Az infrastruktúra változatlan maradt.
  • Az antivirus detektálási arány továbbra is nagyon alacsony.
  • A CryptoWall 4.0  fertőzött weboldalakon, és SPAM leveleken keresztül fertőz.

Megoldás

  • Tartsa rendszerét naprakészen, mindig telepítse a legújabb frissítéseket
  • Készítsen gyakran biztonsági mentést
  • Ne tartson fontos információkat a számítógépén
  • Ne nyisson meg ismeretlen feladótól érkező, vagy nem megbízható (SPAM) emaileket
  • Ne töltse le, vagy nyissa meg ezen emailek mellékletét
  • Használjon ransomware / Cryptoware detektáló, és blokkoló termékeket

Hivatkozások

Egyéb referencia: heimdalsecurity.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com