Los ataques nueva Locky ransomware. TROJ_LOCKY.DLDRA Downloader - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com
eliminan la amenaza

Los ataques nueva Locky ransomware. TROJ_LOCKY.DLDRA Downloader

1 Star2 Stars3 Stars4 Stars5 Stars (Sin clasificación todavía)
Cargando ...

petya-ransomware-cráneo-arte-ASCII-master-boot-record-dropbox-únicoLocky ransomware ya ha afectado a miles de usuarios. Desafortunadamente, la amenaza no está a punto de terminar con sus infecciones, como nuevo, métodos más peligrosos de distribución se acaba de informar por los investigadores de seguridad en TrendMicro.

Las nuevas técnicas incluyen el despliegue ya conocida del día cero flash explotan CVE-2016-1019 (se utilizaron en anteriores Locky de descarga dirigida ataques) y una escalada de privilegios explotar en Windows – CVE-2015-1701. Esta hazaña fue utilizado para eludir las tecnologías de la caja de arena.

NombreLocky ransomware
EscribeEl ransomware.
Descripción breveEl ransomware Locky infame ha empleado nuevas técnicas de distribución e infección.
Los síntomaslos archivos del usuario se cifran y se exige un rescate.
Método de distribuciónUn flash y explotar un FAWS a nivel del núcleo están apalancados.
Herramienta de detecciónDescargar Malware Removal Tool, para ver si su sistema ha sido afectado por Locky ransomware
Experiencia de usuario Únete a nuestro foro Discutir Locky ransomware.

CVE-2015-1701 Descripción oficial

(de Cve.mitre.org)

Win32k.sys en los controladores en modo kernel de Microsoft Windows Server 2003 SP2, Vista SP2, y el servidor 2008 SP2 permite a usuarios locales conseguir privilegios a través de una aplicación manipulada, como explotados en estado salvaje en abril 2015, aka “Win32k vulnerabilidad de elevación de privilegios ".

Análisis de la Ataque

Uno de los descubrimientos de la investigación de TrendMicro es un archivo de descarga detectada como TROJ_LOCKY.DLDRA. Los investigadores también capturaron el tráfico de red y encontraron un uso constante del flash explotar menciona en el comienzo.

Aprender más acerca de Locky ransomware

Otros analistas de TROJ_LOCKY.DLDRA

TROJ_LOCKY.DLDRA, Por otra parte, utilizan los kernel explotan. El descargador se detectó para conectar a un comando & servidor de control situado en 202[.]102[.]110[.]204:80. También instala Locky. La parte interesante es que todo el procedimiento necesitaría varios instrumentos a nivel del núcleo:

  • Artículos de trabajo;
  • subprocesos del sistema;
  • llamadas a procedimientos asincrónicos, o APC.

Todo lo anterior no es necesario ningún archivo que se creará, y como un resultado, Locky se puede instalar directamente en un sistema de, detección de la evasión. Al igual que con muchos otros archivos de malware, usos descargador de Locky svchost.exe.

Los investigadores creen que el nivel de kernel CVE-2015-1701 explotar s utilizados para evitar ser detectados por los proveedores de seguridad y ocultar su comportamiento malicioso. La vulnerabilidad hace que todo el proceso de infección más complejo y más difícil para sandboxing detección y análisis. Además, otras vulnerabilidades del núcleo también se pueden utilizar para las versiones posteriores del sistema operativo Windows.

La muestra de malware analizados por el equipo de investigación de TrendMicro también tiene varios trucos anti-depuración y un nuevo método de embalaje, tales como cadenas de API descifrados y la construcción de las direcciones de la API en tiempo de ejecución.

Después de la activación de la falla kernel, el archivo de descarga se encargará de otras técnicas para ocultar su mal comportamiento. En general, el ataque es bastante complicado y para entenderlo, usted debe tener por encima del conocimiento promedio de los mecanismos internos de Windows y el software malicioso.

No es un antídoto para el último Infección de Locky?

Los investigadores creen que el éxito de este último ataque se debe al hecho de que muchas personas no prestan atención al núcleo explota. Además, los elementos de trabajo antes mencionados, APC, y los hilos del sistema en general no son monitoreados por el comportamiento malicioso. No sólo son ignorados sino también monitoreando ellos sería un trabajo duro.

Sin embargo, el despliegue de sxchost.exe es una típica rutina de software malicioso y es perfecto para ocultar el tráfico de red.

¿Qué debe hacer para prevenir el ataque suceda? La primera cosa que debe hacer es actualizar su sistema con la versión más reciente de Adobe Flash. Si usted está teniendo dificultades para el seguimiento y la actualización de su software, puede confiar en un programa de software como inspector de Secunia:

Flexera / Secunia Personal Software Inspector de la opinión

Para añadir otra capa de protección, considere la instalación de una utilidad anti-ransomware, tales como los descritos en el artículo siguiente. Sin embargo, tener en cuenta que la mayoría de las herramientas sólo protegen contra las familias particulares ransomware.

Herramientas gratuitas Anti-ransomware

Otra cosa que debe hacer es inmediatamente copia de seguridad de todos sus datos.

Si es demasiado tarde y que ya han sido infectados con Locky, echar un vistazo a las instrucciones de abajo.

1. Arrancar el PC en modo seguro para aislar y eliminar Locky ransomware
2. Locky ransomware renovado con la herramienta de SpyHunter Anti-Malware
3. Una copia de seguridad de datos para asegurarlo contra las infecciones y el cifrado de archivos por Locky ransomware en el futuro
4. Restauración de archivos cifrados por Locky ransomware
Opcional: Uso de las herramientas Alternativa Anti-Malware
NOTA! Sustancial notificación acerca de la Locky ransomware amenaza: La extracción manual de Locky ransomware requiere la interferencia con los archivos del sistema y los registros. Por lo tanto, que puede causar daño a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no te preocupes. Usted puede hacer la eliminación ti mismo en 5 acta, usando un herramienta de eliminación de software malicioso.

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...