Hjem > Cyber ​​Nyheder > Retadup Worm Ansvarlig for STOP Ransomware-infektioner lukkes ned
CYBER NEWS

Retadup Worm Ansvarlig for STOP ransomware infektioner er ved at blive Nedlægge

Retadup orm

Den Retadup ormen bliver lukket af edb-specialister, dette er den malware, som er ansvarlig for den store del af STOP ransomware versioner. Ormen er primært fordelt i Latinamerika og det har en omfattende malware sekvens, der køres, når mål-værter kompromitteres. Sikkerhedseksperter forsøger at lukke den ned til den bedste evne og dermed begrænse udbredelsen af ​​STOP ransomware som er dens vigtigste nyttelast.




STOP Ransomware bliver stoppet ved at lukke Retadup Worm

Den Retadup orm er en meget farlig trussel, der er beskrevet i flere rapporter, som en af ​​de vigtigste bærere af STOP-ransomware prøver. De er pervasive ransomware trusler, der ligger en af ​​de mest generende virustrusler som mange af de nuværende igangværende angreb kampagner bærer det. Et team af sikkerhedseksperter har været i stand til at udtænke en måde at stoppe udgivelsen af ​​den trussel, som hurtigt er faldet antallet af inficerede computere med STOP-virus.

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/remove-stop-ransomware/”]Fjern STOP DjVu Ransomware + Dekryptér filer (Opdatering August 2019)

Den Retadup orm er en meget farlig trussel, der er beskrevet i flere rapporter, som en af ​​de vigtigste bærere af STOP-ransomware prøver. De er pervasive ransomware trusler, der ligger en af ​​de mest generende virustrusler som mange af de nuværende igangværende angreb kampagner bærer det. Et team af sikkerhedseksperter har været i stand til at udtænke en måde at stoppe udgivelsen af ​​den trussel, som hurtigt er faldet antallet af inficerede computere med STOP-virus.

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/ws-discovery-protocol-ddos/”]WS-Discovery Protocol udsætter 630,000 Enheder til DDoS angreb

En grundig undersøgelse af den trussel, blev foretaget af en sikkerhed hold at se på opholdssted for den vigtigste kommando og kontrol (C&C) servere - når de er identificeret eksperter kan forsøge at imødegå infektioner. Infrastrukturen blev fundet at være vært i Frankrig, som fik analytikere til at kontakte den franske Gendarmerie nationale - de gav en en ordre giver eksperterne grønt lys til at forsøge og neutralisere serverne til den bedste evne. Som følge virus aktivitet er alvorligt faldt derved stopper frigivelsen af ​​mange STOP ransomware prøver. Men dette har ikke stoppet andre hacking grupper i frigive nye varianter af virus.

Retadup Worm Aktivitet: Hvordan virker det levere STOP ransomware Vira

Hvad er særligt interessant ved denne malware det har været under udvikling i flere år, før en kriminel gruppe har brugt det med det formål at sprede STOP ransomware prøver. Gennem årene forskellige moduler og komponenter er blevet tilføjet det og hovedmotoren er blevet forbedret. På tidspunktet for at skrive denne artikel for større version består af to filer: scriptet sprog tolk og selve scriptet. En indbygget sekvens vil blive iværksat som vil udføre forskellige komponenter, et eksempel liste af dem er følgende:

  • Worm Installation Kontroller - En af de første handlinger, der er udført af infektionen motor er at kontrollere, om der er en aktiv kører infektion. Dette gøres med henblik på at kontrollere, hvorvidt værten er en debug miljø eller virtuel maskine gæst. Det vil stoppe, hvis dette kontrollerer positiv.
  • Vedvarende installation - Den Retadup orm vil blive installeret på en måde, som automatisk vil starte den, så snart systemet starter op. Det kan deaktivere adgang til genopretning opstartsmuligheder gør det meget svært for brugerne at inddrive deres systemer. Det kan også sprede sig til andre værter, såsom flytbare lagermedier og tilgængelige netværk aktier.
  • trojanske operationer - Ormen vil etablere en sikker og vedvarende forbindelse til hacker-kontrollerede server, hvis nås. Dette vil give de kriminelle til at overtage kontrollen med værterne og kapre alle data, der er fundet på dem.
  • Windows Registry Ændringer - Det vigtigste motor er blevet bekræftet til at begå forskellige slags ændringer på de inficerede værter. Konsekvenserne vil omfatte problemer med at køre visse applikationer og tjenester, problemer med ydeevnen og datatab.
Relaterede: [wplinkpreview url =”https://sensorstechforum.com/baldr-malware-csgo-apex-legends/”]Balder Malware sæt mod CS:GO og Apex Legends Cheaters

Kommandoerne, der oftest anvendes under kommanderende af virusprøver er Opdatering bruges til at kontrollere, om en nyere frigivelse af truslen er tilgængelig; Hent som vil implementere andre malware på værterne; Søvn som midlertidigt vil standse udførelsen af ​​malware< and Updateself som vil reorganisere sin nuværende form. De fleste af de vira også bruge sofistikerede UAC sikkerhed bypass der er kendt for at være en del af de fleste af de avancerede trojanske heste til rådighed for Microsoft Windows-systemet. Den Retadup Worm er indlæst i hukommelsen i en sammenrodet og krypteret form, hvilket betyder, at den vil blive dekrypteret i realtid og om nødvendigt. Det betyder, at i de fleste tilfælde vil blive gjort meget vanskelig opdagelse af den kørende motor.

Analysen af ​​kommando og kontrol-servere viser, at de er drevet af en node.js implementering og data gemmes i en MongoDB database. Den detaljerede analyse viser, at hele versionerne er der forskellige typer af organisationsstruktur. Den gjort analyse viser, at de indhentede i databaserne information anvendes af de tilsynsførende at udforme en brugergrænseflade tillader dem at håndtere de inficerede værter. Nogle af de indsamlede prøver har været viser at aktivere avancerede operationer, eksempler på sådanne er følgende:

  • botnet Rekruttering - Værterne kan gøres til en del af et internationalt netværk af inficerede computere. Når dette er gjort kendsgerning de kompromitterede værter kan bruges i en gruppe til at lancere ødelæggende distribuerede angreb forudindstillede netværk hvilket gør dem ikke-arbejdende.
  • Cryptocurrency Miner Loading - En af de mest almindelige infektioner, som er resultatet af virusinfektioner er indsættelsen af ​​cryptocurrency minearbejdere. Der er små mellemstore scripts eller programmer, der vil hente en sekvens af præstationsfremmende tunge matematiske opgaver og især CPU, hukommelse, harddiskplads og netværksforbindelse. Når en infektion er rapporteret som komplet til serverne hackere vil være forbundet cryptocurrency award direkte til deres tegnebøger.

Den nuværende situation med Retadup Worm

Et stort antal af domænerne og servere forbundet med snekken er blevet lukket af eksperterne. Men dette har ikke været nok til at stoppe spredningen af ​​STOP ransomware stammer. Det fremgår, at mens denne orm er en af ​​de mest effektive kilder til infektion, det er ikke den eneste. Det er rigtigt, at efter nedlukning af mange af de servere nogle af stammerne er faldet i volumen dog stoppe virus fortsat udvikles. Det giver os grund til at tro, at en af ​​disse erklæringer muligvis kan være sandt:

  • Den kriminelle kollektiv bag disse web-servere er en af ​​de vigtigste udviklere af de STOP ransomware strygere. Det betyder, at det er muligt, at når alle servere er stoppet antallet af igangværende infektioner vil dramatisk øge.
  • Den anden alternativ forståelse af situationen er, at serverne er lejet eller lånt af forskellige hacking grupper for at sprede deres egne versioner af STOP ransomware.
  • En anden proposition er, at disse servere er hacket netop for at levere ormen og de tilknyttede stoppe virus.

Uanset hvad tilfældet den gode nyhed er, at sådanne operationer bliver stoppet af sikkerhedseksperter . Men at-large STOP ransomware prøver fortsat blive produceret, og vi forventer ikke at se en opbremsning i deres videre skabelse og distribution. Årsagerne til denne konklusion er, at mange stammer af det er lavet hver uge, som viser, at de er en meget indbringende værktøj, der bruges af mange hacker kollektiver rundt om i verden.

Avatar

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...