Die Malware-Autoren hinter den Locky und Zepto Ransomware-Projekte wieder einmal bewiesen, dass sie die ganze Zeit nicht nur arbeiten mehr und mehr Anwender zu infizieren und auf der Oberseite des Ransomware-Chart bleiben, aber sie arbeiten auch die Infektion Verfahren selbst diese Angriffe zu machen, noch erfolgreicher – mit DLL-Datei Injektion.
So, Diese Cyber-Kriminelle die Infektionsmethoden verbessert haben, ist, dass sie auf einem sehr wichtigen "Engpass" konzentriert - die Arten von Dateien, die die Verschlüsselung und den Abwurf der bösartigen Verschlüsselung und andere Support-Module der Ransomware verwendet werden, um durchzuführen.
Warum die neue Infektion Methode?
Das Hacking-Team hinter Locky und Zepto die unbekannt bleiben und wollte bisher bereits verschiedene Verteilungsmethoden verwendet, wie JavaScript (.JS) Dateien, auch als "dateilose" Ransomware bekannt und auch böswillige exe-Dateien und Exploit-Kits direkt angeschlossenen auf E-Mails und bösartige URLs. Dies hat zu hohen Erfolg von Infektionen zur Folge, da diese Dateien gut verschleiert wurden und verbreitet massiv.
In Verbindung stehende Artikel: Locky, Dridex Botnet hat auch Geliefert TeslaCrypt(Weitere Informationen über die Spam-Infektionen Locky)
Jedoch, im Gegensatz zu den bisher verwendeten Executables, die Hacker hinter Locky gemacht haben Ransomware einmal noch eine Änderung, die Möglichkeit zu schaffen eine DLL-Datei über den Prozess rundll32.exe zu laufen. Da die meisten Antiviren-Produkte nicht erkennen verdächtige Aktivitäten, weil sie diesen Prozess als legitim zu setzen neigen und überspringen sie für böswillige Aktivitäten Scannen, die Systeme entweder mit Zepto oder Locky infiziert werden, noch Dateien der Opfer verschlüsseln.
Wie funktioniert eine DLL-Infektion Arbeit?
Um zu verstehen, wie dieser Prozess funktioniert Infektion, wir müssen zu sezieren, was der rundll32.exe Prozess genau durchführt.
Ursprünglich war die rundll32.exe ist eine Anwendung, die verwendet wird, um die so genannte Dynamic Link Library laufen (DLL) Dateien, weil sie keine Möglichkeit haben, direkt ausgeführt zu werden. Dies ist ein Weg, und höchstwahrscheinlich die Technik Locky oder Zepto erfolgreich anwenden, um den Computer des Opfers zu infizieren. Jedoch, manchmal Anti-Malware-Programme fangen verdächtige Aktivitäten und aus diesem Grund, das Virus nutzt den sogenannten Prozess-Verschleierung, so dass die DLL-Datei, die die neueste Antivirus-Definitionen zu überspringen. Solche obfuscators auch als Datei cryptors bekannt sind sehr teuer, und ihre Fähigkeit, unbemerkt zu bleiben verschwindet extrem schnelle, weil die meisten Antiviren-Programme sehr häufig aktualisiert werden.
Locky und Zepto weiterhin ihre Kampagnen noch energischer
Locky und Zepto Ransomware sind einer der größten Namen in der Ransomware Welt. Die Verwendung von solchen Viren, legt nahe, dass das Team hinter ihnen haben viel Zeit damit verbracht, viel Erfahrung in diesem Bereich mit den Viren am Leben und haben als auch zu halten. Ein Indikator dafür ist, dass sich die Viren noch infizieren Benutzer und die meisten Ransomware Viren in der Regel ihren Lebenszyklus nach kurzer Zeit zu beenden. Jedoch, die sich ständig verändernden Infektionsmethoden (JavaScript, böswillige exe-Dateien, Fern Bruteforcing) legen nahe, dass Locky und Zepto sind hier zu bleiben und halten Geld auf Kosten der Nutzer machen.