SG.hu
Frissítették a legelterjedtebb zsarolóvírusokat
A Check Point Software blogján megjelent cikk szerint a Cerber és a Locky, a két jelenleg legelterjedtebb zsarolóvírus egyszerre engedte szabadjára új verzióját.
Az új zsarolóvírus-verziók apró, de nagyon érdekes változásokkal bírnak, amelyek hatással lehetnek a velük szemben eddig használt módszerekre. A Cerbert működtetők, hasonlóan a zsarolóvírusok világának más szereplőihez, napi szinten bizonyítják innovativitásukat. November 23-án a Cerber egy új verziója jelent meg, a 4.1.6. számú, alig 24 órával később pedig már egy újabb, az 5.0-s verzió is megjelent. A mostani Cerber verzióban az egyik legjelentősebb változás az új IP címtartományok használata a ellenőrző-irányító (C&C) kommunikáció során.
A Cerbert jelenleg spam e-mail kampányokon és u.n. exploit kiteken keresztül terjesztik, elsősorban a Rig-V Exploit Kiten keresztül. A titkosított file-kiterjesztéseket véletlenszerűen generálják, épp mint a Cerber legutóbbi verziói esetében, 4 véletlenszerűen kiválasztott alfabetikus betű használatával. A Cerber ezen verziója továbbra is az adatbázisokra és az azokhoz kapcsolódó file-okra fókuszál, és titkosítja a különböző típusú adatbázis file-okat. Ráadásul, a Cerber egy desktop üzenetben informálja a felhasználókat, hogy melyik zsarolóvírus titkosította őket. Mindezeken túl, a titkosítási utasítások megjelennek egy inaktív .hta file-ban, különböző nyelveken megadott információkkal egyetemben.
Az állandóan változó Locky zsarolóvírus is a napokban adott ki egy újabb variánst, mely új behatolási technikákat és testre szabott zsaroló tarifát alkalmaz. A Locky-ról tudjuk, hogy JavaScript alapú letöltőprogram használatával dll file-ként töltődik le. Annak ellenére, hogy az új verzió is ugyanígy viselkedik, a JavaScript letöltőprogram rejtett .TDB file-t húz be, mely PE file-á alakul át. A Locky valószínűleg olyan biztonsági termékeket szeretne kikerülni, melyek szignálják a már ismert fertőzési láncokat. Hasonlóan valamennyi korábbi verzióhoz, Locky most is lecseréli a titkosított file-kiterjesztéseket; ezúttal arra, hogy .zzzzz.
Egy másik, említésre érdemes viselkedés a kizsarolt fizetés variálása. Az alapértelmezett összeg 3 Bitcoin; amikor viszont engedi a rosszindulatú programot kommunikálni az ellenőrző-irányító (C&C) rendszerrel, a fizetendő összeg változhat az áldozat jellemzőinek függvényében, különösen a titkosított file-ok száma alapján. A Check Point laborjában kért legalacsonyabb összeg a 0,5 Bitcoin volt.
Az új zsarolóvírus-verziók apró, de nagyon érdekes változásokkal bírnak, amelyek hatással lehetnek a velük szemben eddig használt módszerekre. A Cerbert működtetők, hasonlóan a zsarolóvírusok világának más szereplőihez, napi szinten bizonyítják innovativitásukat. November 23-án a Cerber egy új verziója jelent meg, a 4.1.6. számú, alig 24 órával később pedig már egy újabb, az 5.0-s verzió is megjelent. A mostani Cerber verzióban az egyik legjelentősebb változás az új IP címtartományok használata a ellenőrző-irányító (C&C) kommunikáció során.
A Cerbert jelenleg spam e-mail kampányokon és u.n. exploit kiteken keresztül terjesztik, elsősorban a Rig-V Exploit Kiten keresztül. A titkosított file-kiterjesztéseket véletlenszerűen generálják, épp mint a Cerber legutóbbi verziói esetében, 4 véletlenszerűen kiválasztott alfabetikus betű használatával. A Cerber ezen verziója továbbra is az adatbázisokra és az azokhoz kapcsolódó file-okra fókuszál, és titkosítja a különböző típusú adatbázis file-okat. Ráadásul, a Cerber egy desktop üzenetben informálja a felhasználókat, hogy melyik zsarolóvírus titkosította őket. Mindezeken túl, a titkosítási utasítások megjelennek egy inaktív .hta file-ban, különböző nyelveken megadott információkkal egyetemben.
Az állandóan változó Locky zsarolóvírus is a napokban adott ki egy újabb variánst, mely új behatolási technikákat és testre szabott zsaroló tarifát alkalmaz. A Locky-ról tudjuk, hogy JavaScript alapú letöltőprogram használatával dll file-ként töltődik le. Annak ellenére, hogy az új verzió is ugyanígy viselkedik, a JavaScript letöltőprogram rejtett .TDB file-t húz be, mely PE file-á alakul át. A Locky valószínűleg olyan biztonsági termékeket szeretne kikerülni, melyek szignálják a már ismert fertőzési láncokat. Hasonlóan valamennyi korábbi verzióhoz, Locky most is lecseréli a titkosított file-kiterjesztéseket; ezúttal arra, hogy .zzzzz.
Egy másik, említésre érdemes viselkedés a kizsarolt fizetés variálása. Az alapértelmezett összeg 3 Bitcoin; amikor viszont engedi a rosszindulatú programot kommunikálni az ellenőrző-irányító (C&C) rendszerrel, a fizetendő összeg változhat az áldozat jellemzőinek függvényében, különösen a titkosított file-ok száma alapján. A Check Point laborjában kért legalacsonyabb összeg a 0,5 Bitcoin volt.