Video: Ransomware As Fast As Possible (Oktober 2024)
Forskere har oppdaget en ny variant av CryptoLocker ransomware som potensielt kan smitte enda flere brukere enn den opprinnelige versjonen.
Kriminelle bak CryptoLocker ser ut til å ha endret ransomware fra en trojan til en USB-spredende orm, skrev forskere fra Trend Micro på sin Security Intelligence-blogg nylig. Som trojan kunne ikke CryptoLocker spre seg på egenhånd for å infisere brukerdatamaskiner. Det var avhengig av brukere om å åpne et e-postvedlegg, eller for å klikke på en kobling i en e-post, for å utføre og installere seg selv på datamaskinen. Som en orm kan CryptoLocker imidlertid kopiere seg og spre seg via flyttbare stasjoner.
I tilfelle du trenger en oppdatering, er CryptoLocker ransomware. Dette er en type malware som låser filer på datamaskinen din og krever løsepenger for å låse opp filene. Filene er kryptert, så å fjerne skadelig programvare frigjør ikke filene. Den eneste måten å få filene tilbake er å betale kriminelle det beløpet de velger (nyere angrep har inneholdt krav om BitCoins) eller bare tørke av datamaskinen og gjenopprette fra sikkerhetskopi.
Den nye versjonen av skadelig programvare later til å være en aktivator for programvare som Adobe Photoshop og Microsoft Office på peer-to-peer (P2P) fildelingssider, sa Trend Micro. Når du laster opp skadelig programvare på P2P-nettsteder, kan skurkene enkelt infisere systemer uten å bry seg med spam-meldinger, ifølge blogginnlegget.
"De skurkene bak denne nye varianten trenger ikke å sprenge en e-postkampanje for spam for å spre skadelig programvare, " sa Graham Cluley, en sikkerhetsforsker.
Hvordan en orm smitter
Se for deg et enkelt scenario. Du låner en USB-stasjon for å flytte en fil fra en datamaskin til en annen, eller for å gi noen en kopi av filen. Hvis stasjonen ble infisert med CryptoLocker-ormen, vil alle datamaskiner stasjonen koblet til bli infisert. Og hvis den datamaskinen er koblet til et nettverk, kan Cryptolocker-arbeidet se etter andre tilkoblede stasjoner.
"Det kan gjøre det lettere for CryptoLocker å infisere PC-er i hele organisasjonen din, " sa Cluley.
Det er imidlertid et godt tegn på denne nye varianten. Den originale CryptoLocker-skadeprogrammet brukte domenegenereringsalgoritmen (DGA) til periodisk å generere et stort antall domenenavn for å koble til kommandoen og kontrollen (C&C) -serveren. Den nye versjonen av CryptoLocker bruker derimot ikke DGA som URL-adresse til kommando- og kontrollserverne er hardkodet i ransomware, sier Trend Micro. Dette gjør det lettere å oppdage og blokkere de relaterte ondsinnede URL-ene.
Imidlertid kan det bare bety at skadelig programvare fremdeles er i ferd med å bli foredlet og forbedret, og senere versjoner av ormen kan ha DGA-funksjonen, advarte Trend Micro. Når den inkluderer DGA, ville det være vanskeligere å oppdage og blokkere ransomware.
Hva gjør jeg?
Trend Micro og Cluley hadde noen få anbefalinger om hva de skulle gjøre:
Brukere bør unngå å bruke P2P-nettsteder for å få kopier av programvare og holde seg til offisielle eller anerkjente nettsteder.
Brukere bør også være ekstremt forsiktige med å koble USB-stasjoner til datamaskinene. Hvis du fant en som lå rundt, ikke koble den til for å se hva som kan være på den.
"Forsikre deg om at du følger sikker databehandlingspraksis og er forsiktig med hva du kjører på datamaskinene dine, og ikke glem å holde antiviruset oppdatert og vettet av deg, " sa Cluley.
