Der Retadup Wurm wird von Computerspezialisten abgeschaltet, dies ist die Malware, die für den Großteil der STOP-Ransomware-Versionen verantwortlich ist. Der Wurm ist in Lateinamerika und verfügt über eine umfangreiche Malware-Sequenz, die ausgeführt wird, wenn die Ziel-Hosts kompromittiert werden in erster Linie verteilt. Sicherheitsexperten versuchen, es so zu den besten ihrer Fähigkeit, die Ausbreitung des STOP-Ransomware Begrenzung zu schließen, die seine Hauptnutzlast.
STOPP Ransomware gestoppt ist durch Herunterfahren des Retadup Worm
Der Retadup Wurm ist eine sehr gefährliche Bedrohung, die in mehreren Berichten als einer der Hauptträger von STOP-Ransomware Proben beschrieben wird. Sie sind allgegenwärtig Ransomware-Bedrohungen, die eine der lästigen Bedrohungen durch Viren, wie viele der aktuellen laufenden Angriff Kampagnen tragen sie. Ein Team von Sicherheitsexperten in der Lage gewesen, einen Weg zu stoppen die Freisetzung der Bedrohung zu entwickeln, die die Anzahl der infizierten Computer mit dem STOP-Virus schnell abgenommen hat.
Der Retadup Wurm ist eine sehr gefährliche Bedrohung, die in mehreren Berichten als einer der Hauptträger von STOP-Ransomware Proben beschrieben wird. Sie sind allgegenwärtig Ransomware-Bedrohungen, die eine der lästigen Bedrohungen durch Viren, wie viele der aktuellen laufenden Angriff Kampagnen tragen sie. Ein Team von Sicherheitsexperten in der Lage gewesen, einen Weg zu stoppen die Freisetzung der Bedrohung zu entwickeln, die die Anzahl der infizierten Computer mit dem STOP-Virus schnell abgenommen hat.
Eine eingehende Untersuchung der Bedrohung wurde von einem Sicherheitsteam in den Aufenthaltsort des Haupt Befehl und Kontrolle aus gemacht (C&C) Server - sobald sie identifiziert werden versuchen, die Experten können die Infektionen zu begegnen. Die Infrastruktur wurde gefunden in Frankreich gehostet werden, die die Analysten aufgefordert, die Französisch Gendarmerie zu kontaktieren - sie bot eine Anordnung, die Experten grünes Licht geben, die Server zu den besten ihrer Fähigkeit zu versuchen und zu neutralisieren. Als Ergebnis wird die Virusaktivität verringert stark zu stoppen damit die Freisetzung von vielen STOP-Ransomware Proben. Allerdings hat dies nicht andere Hacking-Gruppen gestoppt in neue Varianten des Virus Freigabe.
Retadup Worm Aktivität: Wie funktioniert Geben Sie die STOP Ransomware Viren
Was ist besonders interessant, über diese Malware es in der Entwicklung für mehrere Jahre gewesen ist, bevor eine kriminelle Gruppe es zum Zweck der Verbreitung der STOP-Ransomware Proben verwendet wird. Im Laufe der Jahre wurden verschiedene Module und Komponenten hinzugefügt worden, und die Hauptmaschine wurde verbessert. Zum Zeitpunkt des Schreibens dieses Artikels die Hauptversion besteht aus zwei Dateien: die Skriptsprache Interpreter und das Skript selbst. Eine eingebaute in Folge wird gestartet, die verschiedenen Komponenten ausgeführt wird, ein Beispiel Liste von ihnen ist die folgende:
- Worm Installation Überprüfen - Eine der ersten Aktionen, die durch die Infektion Motor gemacht werden, ist zu prüfen, ob es eine aktive Lauf Infektion. Dies wird getan, um zu überprüfen, ob der Host eine Debug-Umgebung ist oder eine virtuelle Maschine Gast. Er stoppt, wenn diese positiv überprüft.
- persistent Installations - Der Retadup Wurm wird in einer Art und Weise installiert werden, die es automatisch, sobald das System startet startet up. Es kann den Zugriff auf die Recovery-Boot-Optionen zu deaktivieren, ist es sehr schwer machen für die Anwender ihre Systeme erholen. Es kann sich auch auf andere Hosts verteilt wie Wechselspeichergeräte und Netzwerkfreigaben zur Verfügung.
- Trojan Operationen - Der Wurm wird eine sichere und dauerhafte Verbindung mit dem Hacker-kontrollierten Server herstellen, wenn erreichbar. Auf diese Weise können die Kriminellen die Kontrolle über den Rechner zu übernehmen und alle Daten, kapern, die auf ihnen gefunden wird.
- Windows Registry Changes - Die Hauptmaschine wurde bestätigt, auf unterschiedliche Art von Veränderungen auf den infizierten Hosts zu begehen. Die Folgen gehören Probleme mit dem Betrieb bestimmter Anwendungen und Dienste, Performance-Probleme und Datenverlust.
Die Befehle, die am häufigsten während der kommandier der Virusproben verwendet werden, Update zu überprüfen, ob eine neuere Version der Bedrohung verfügbar verwendet wird; Herunterladen die andere Malware auf den Rechner bereitgestellt werden soll; Schlaf die vorübergehend die Ausführung der Malware-Pause< and Updateself das ihre gegenwärtige Form reorganisiert. Die meisten der Viren nutzen auch die anspruchsvolle UAC Sicherheit Bypass die ist zu beachten, ein Teil der meisten fortgeschrittenen Trojaner für die Microsoft Windows-System für sein. Der Retadup Wurm ist zwar in einer verschlüsselten und crypted Form in dem Speicher geladen, was bedeutet, dass sie in Echtzeit entschlüsselt werden, und, wenn notwendig,. Dies bedeutet, dass in den meisten Fällen Entdeckung des laufenden Motors sehr schwierig gemacht wird.
Die Analyse des Kommando- und Kontrollservers zeigt, dass sie durch eine Node.js Implementierung mit Energie versorgt werden und die Daten werden in einer Datenbank gespeichert MongoDB. Die detaillierte Analyse zeigt, dass in allen Versionen gibt es verschiedene Arten von Organisationsstruktur. Bildete Analyse zeigt, dass die Informationen in den Datenbanken gesammelt werden von den Controllern verwendet, um eine Benutzeroberfläche Handwerk so dass sie die infizierten Rechner steuern. Einige der gesammelten Proben wurden Shows erweiterte Funktionen zu ermöglichen,, Beispiele hierfür sind die folgenden:
- Botnet Recruitment - Die Gastgeber gemacht werden können, ist Teil eines internationalen Netzwerks von infizierten Computern. Wenn diese Tatsache besteht die kompromittierten Hosts können in einer Gruppe verwendet werden, so starten verheerenden verteilte Angriffe gegen voreingestellte Netze sie nicht arbeit Rendering.
- Kryptowährung Miner Loading - Einer der häufigsten Infektionen, die das Ergebnis von Virusinfektionen sind, ist der Einsatz von Kryptowährung Bergleute. Es gibt kleines Skripte oder Anwendungen, die eine Folge von leistungs schweren mathematischen Aufgaben herunterladen und vor allem die CPU, Erinnerung, Festplattenspeicher und Netzwerkverbindung. Wenn eine Infektion als vollständig an die Server gemeldet wird, wird der Hacker Kryptowährung Auszeichnung direkt an ihren Geldbeutel zu verdrahten.
Die aktuelle Situation mit dem Retadup Worm
Eine große Anzahl der Domänen und Servern mit dem Wurm in Verbindung gebracht wurde von den Experten stillgelegt. Allerdings ist dies nicht genug, um die Ausbreitung der STOP-Ransomware-Stämme zu stoppen. Es scheint, dass während dieser Wurm eine der effizientesten Quellen der Infektion ist, es ist nicht der einzige. Es ist wahr, dass nach dem Abschalten viele des Servers einige der Stämme im Volumen jedoch weiterhin verringert haben STOPPEN Viren entwickelt werden. Das gibt uns Grund zu der Annahme, dass eine dieser Aussagen wahr sein kann:
- Das kriminelle Kollektiv hinter diesem Web-Server ist eine der wichtigsten Entwickler der STOP-Ransomware Strings. Das bedeutet, dass es möglich ist, dass, wenn alle Server die Anzahl der laufenden Infektionen gestoppt werden wird dramatisch zunehmen.
- Das zweite Alternative Verständnis der Situation ist, dass die Server gemietet werden oder durch verschiedene Hacking Gruppen, um ihre eigenen Versionen der STOP-Ransomware zu verbreiten leihen.
- Ein weiterer Vorschlag ist, dass diese Server speziell um gehackt werden, um den Wurm und die damit verbundenen STOP-Viren zu liefern.
Was auch immer der Fall, die gute Nachricht ist, dass solche Operationen werden von Sicherheitsexperten gestoppt . Jedoch at-large STOPP Ransomware weiterhin Proben erzeugt werden, und wir erwarten nicht, dass eine Verlangsamung in ihrer weiteren Erstellung und Verteilung zu sehen. Die Gründe für diese Schlussfolgerung ist die Tatsache, dass zahlreiche Stämme von ihm jede Woche gemacht werden, was zeigt, dass sie ein sehr profitables Werkzeug sind, die von vielen Hacker-Kollektive auf der ganzen Welt verwendet wird,.