CYBER NEWS

FriedEx – Stealthy Ransomware Udformet af Dridex Forfattere

Den berygtede Dridex bank Trojan har nu skiftet til ransomware i sin FriedEx (også kendt som BitPaymer) variant.

Image Source: SAG

relaterede Story: Dridex Spred via Kompromitteret OneDrive for Business Accounts

"Dridex har været et mareridt for computerbrugere, virksomheder og finansielle institutioner i flere år nu, så meget, at for mange, Det er blevet den første ting, der kommer til at tænke på, når vi taler om bank-trojanere", ESET forskere sagde. Ifølge deres seneste resultater, forfatterne af Dridex har også udviklet en anden højt profilerede malware familie - det FriedEx ransomware, detekteret som Win32 / Filecoder.FriedEx og Win64 / Filecoder.FriedEx.

Denne ransomware var tidligere kendt som BitPaymer, som blev opdaget af Michael Gillespie og var aktiv i sommeren 2017.

BitPaymer er en cryptovirus at de fleste sandsynligvis var hovedsageligt rettet mod virksomheder og store virksomheder. Den ransomware er kodet til at sætte udvidelsen .locked til alle filer, efter at krypteringen er afsluttet sammen med en tekst dokument, der indeholder instruktioner til løsesum note for hvert krypteret fil. Den BitPaymer virus krævede løsesum sum af 50 Bitcoin mens udgør en tom trussel, at målet filer vil blive lækket på nettet.

I august, 2017 BitPaymer var rettet mod NHS hospitaler i Skotland. FriedEx, dog, ser ud til at være rettet mod flere højt profilerede virksomheder og er primært leveret via en RDP brute force angreb.

relaterede Story: Fjern BitPaymer Virus - Restore .Locked Files

Ifølge ESET forskere, den ransomware krypterer hver fil med en tilfældigt genereret RC4 nøgle, som derefter krypteret ved hjælp af hardcodede 1024-bit RSA offentlig nøgle og gemmes i den tilsvarende .readme_txt fil.

I december 2017, forskerne nøje analyserede FriedEx prøver og bemærket ligheden i koden til Dridex.

Fascineret af de første resultater, forskerne ”gravet dybt ind i FriedEx prøver, og fandt ud af at FriedEx bruger de samme teknikker som Dridex at skjule så mange oplysninger om sin adfærd som muligt".

Hvad betyder det? Den ransomware løser alle systemets API-kald, gemmer alle strenge i krypteret tilstand, søger efter registreringsdatabasenøgler og værdier ved hash. Resultatet er en meget lav profil binær hvilket gør det vanskeligt at sige, hvad ondsindede aktiviteter, der finder sted. Den hemmelige adfærd gjorde forskerne se dybere til yderligere analyse, hvilket førte til en række yderligere ligheder. Konklusionen er, at de to malware familier er designet af de samme udviklere.

Forskerne var også i stand til at finde flere tilfælde af Dridex og FriedEx som blev udarbejdet på samme tid. Dette kan have været en tilfældighed, hvis det ikke var for alle de andre ligheder. Desuden:

Ikke alene har de kompilationer med samme dato har tidsforskelle på flere minutter ved de fleste (hvilket indebærer Dridex fyre sandsynligvis kompilere begge projekter samtidigt), men de tilfældigt genererede konstanter er også identiske i disse prøver. Disse konstanter ændrer sig med hver samling som en form for polymorfi, at gøre analysen hårdere og for at hjælpe med at undgå at blive opdaget.

relaterede Story: 97% af Malware Infektioner er polymorfe, Forskere Sig

FriedEx ransomware Removal instruktioner

Hvis din computer fik inficeret med FriedEx ransomware, du skal have lidt erfaring med at fjerne malware. Du bør slippe af med denne ransomware så hurtigt som muligt, før det får mulighed for at sprede sig yderligere og inficere andre computere. Du bør fjerne ransomware og følg trin-for-trin instruktioner guide nedenfor.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...