Les logiciels malveillants écrivains derrière les projets ransomware locky et Zepto ont prouvé une fois qu'ils travaillent tout le temps non seulement d'infecter de plus en plus d'utilisateurs et de rester sur le dessus de la carte ransomware, mais ils travaillent également la procédure d'infection elle-même pour rendre ces attaques encore plus de succès – par injection de fichier .DLL.
De cette façon,, ces cyber-criminels ont amélioré les méthodes d'infection est que ils se sont concentrés sur un "goulot d'étranglement" très important - les types de fichiers qui sont utilisés pour effectuer le cryptage et la chute du chiffrement malveillants et d'autres modules de soutien de l'ransomware.
Pourquoi La nouvelle méthode d'infection?
L'équipe de piratage derrière Locky et Zepto qui restent inconnus et voulait jusqu'à présent ont déjà utilisé différentes méthodes d'épandage, comme JavaScript (.JS) fichiers, également connu sous le nom "fileless" ransomware et aussi exécutables malveillants et exploiter des kits directement attaché sur les e-mails et URL malveillantes. Il en a résulté de succès élevé d'infections parce que ces fichiers étaient bien obscurcis et de diffuser massivement.
article connexe: Locky, Dridex Botnet a également livré TeslaCrypt(Plus d'informations sur les infections de spam locky)
Cependant, contrairement aux exécutables utilisés précédemment, les pirates derrière Locky ransomware ont une fois encore fait un changement créant la possibilité d'exécuter un fichier .dll via le rundll32.exe processus. Comme les produits la plupart des antivirus ne détectent pas les activités suspectes, car ils ont tendance à mettre ce processus en tant que légitime et sauter la numérisation pour les activités malveillantes, les systèmes sont infectés soit avec Zepto ou Locky, encore chiffrer les fichiers des victimes.
Comment fonctionne un DLL des infections?
Pour comprendre comment ce processus d'infection fonctionne, nous avons besoin de disséquer ce que le processus rundll32.exe effectue exactement.
A l'origine le rundll32.exe est une application qui est utilisé pour exécuter le soi-disant Dynamic Link Library (DLL) fichiers, parce qu'ils ont aucun moyen d'être exécuté directement. Ceci est une façon et très probablement la technique Locky ou Zepto peuvent utiliser pour infecter avec succès l'ordinateur de la victime. Cependant, parfois des programmes anti-malware attraper activité suspecte et c'est pourquoi, le virus utilise le soi-disant processus de obfuscation, rendant le fichier DLL pour sauter les dernières définitions antivirus. Ces obfuscators également connu sous le nom de fichier cryptors sont très chers et leur capacité à rester inaperçue disparaît extrêmement rapide, parce que la plupart des programmes antivirus deviennent souvent mis à jour.
Locky et Zepto poursuivre leurs campagnes encore plus Vigoureusement
Locky et Zepto ransomware sont l'un des plus grands noms dans le monde ransomware. L'utilisation de ces virus suggère que l'équipe derrière eux ont passé beaucoup de temps pour garder ces virus vivants et ont beaucoup d'expérience dans ce domaine, ainsi. Un indicateur est que les virus sont encore infecter les utilisateurs et la plupart des virus de ransomware finissent généralement leur cycle de vie après de brèves périodes de temps. Cependant, les méthodes d'infection en constante évolution (JavaScript, Executables malveillants, bruteforcing à distance) suggèrent que Locky et Zepto sont là pour rester et continuer à faire de l'argent au détriment des utilisateurs.