Accueil > Nouvelles Cyber > Retadup Worm responsable de STOP Ransomware Infections est en cours d'arrêt
CYBER NOUVELLES

Worm Retadup responsable pour l'arrêt Ransomware infections est à l'arrêt

ver Retadup

Le ver Retadup est arrêté par des spécialistes informatiques, c'est le logiciel malveillant qui est responsable de la grande partie des versions STOP ransomware. Le ver se propage principalement en Amérique latine et il a une séquence des programmes malveillants vaste qui est exécuté lorsque les hôtes cibles sont compromis. Les experts en sécurité tentent de le fermer au mieux de leur capacité limitant ainsi la propagation de STOP ransomware qui est sa principale charge utile.




ARRÊT Ransomware est arrêté par l'arrêt du ver Retadup

Le ver Retadup est une menace très dangereuse qui est décrit dans plusieurs rapports comme l'un des principaux porteurs d'échantillons STOP ransomware. Ils constituent des menaces omniprésentes ransomware qui sont l'une des menaces les virus les plus gênants que la plupart des campagnes d'attaque en cours en cours le transporter. Une équipe d'experts en sécurité ont été en mesure de trouver un moyen d'arrêter la libération de la menace qui a rapidement diminué le nombre d'ordinateurs infectés par le virus STOP.

en relation: [wplinkpreview url =”https://sensorstechforum.com/remove-stop-ransomware/”]Retirer ARRÊT DJVU Ransomware + fichiers Décrypter (Mise à jour Août 2019)

Le ver Retadup est une menace très dangereuse qui est décrit dans plusieurs rapports comme l'un des principaux porteurs d'échantillons STOP ransomware. Ils constituent des menaces omniprésentes ransomware qui sont l'une des menaces les virus les plus gênants que la plupart des campagnes d'attaque en cours en cours le transporter. Une équipe d'experts en sécurité ont été en mesure de trouver un moyen d'arrêter la libération de la menace qui a rapidement diminué le nombre d'ordinateurs infectés par le virus STOP.

en relation: [wplinkpreview url =”https://sensorstechforum.com/ws-discovery-protocol-ddos/”]WS-Discovery Protocol Expose 630,000 Dispositifs à des attaques DDoS

Un dans la menace enquête approfondie a été faite par une équipe de sécurité à la recherche dans les allées et venues de la commande principale et de contrôle (C&C) serveurs - une fois qu'ils sont identifiés les experts peuvent tenter de contrer les infections. L'infrastructure a été trouvée être hébergé en France ce qui a incité les analystes à contacter la gendarmerie nationale française - ils ont fourni un ordre donnant aux experts le feu vert pour tenter de neutraliser et les serveurs au mieux de leur capacité. En conséquence, l'activité du virus a Baisses stoppant ainsi la libération de nombreux échantillons STOP ransomware. Cependant, cela n'a pas empêché d'autres groupes de hacking en libérant de nouvelles variantes du virus.

Retadup Activité Worm: Comment ça Livrer La touche STOP Ransomware virus

Ce qui est particulièrement intéressant ce logiciel malveillant, il a été en développement depuis plusieurs années avant qu'un groupe criminel a utilisé dans le but de répartir les échantillons STOP ransomware. Au fil des années, différents modules et composants ont été ajoutés et le principal moteur a été amélioré. Au moment de la rédaction de cet article, la version majeure est composée de deux fichiers: l'interpréteur de langage de script et le script lui-même. Une séquence intégrée sera lancée qui exécutera différentes composantes, une liste d'exemples d'entre eux est le suivant:

  • Installation Worm Vérifier - L'une des premières actions qui sont faites par le moteur d'infection est de vérifier s'il y a une infection de fonctionnement actif. Ceci est fait afin de vérifier si oui ou non l'hôte est un environnement de débogage ou d'invité de machine virtuelle. Il arrêtera si ce contrôle positif.
  • Installation persistante - Le ver Retadup sera installé d'une manière qui commencera automatiquement dès que le démarrage du système. Il peut désactiver l'accès aux options de démarrage de récupération rendant très difficile pour les utilisateurs de récupérer leurs systèmes. Il peut aussi se propager à d'autres hôtes tels que les périphériques de stockage amovibles et les partages réseau disponibles.
  • Opérations de Troie - Le ver établira une connexion sécurisée et persistante au serveur contrôlé hacker, si accessible. Cela permettra aux criminels de prendre le contrôle des hôtes et pirater des données qui se trouve sur les.
  • Les modifications du Registre Windows - Le moteur principal a été confirmé pour commettre différents types de changements sur les hôtes infectés. Les conséquences comprendront des problèmes avec l'exécution de certaines applications et services, les problèmes de performance et la perte de données.
en relation: [wplinkpreview url =”https://sensorstechforum.com/baldr-malware-csgo-apex-legends/”]Baldr Malware IMPUTATION CS:GO et Légendes Apex Cheaters

Les commandes qui sont le plus souvent utilisées au cours du commandant des échantillons de virus sont Mise à jour utilisé pour vérifier si une version plus récente de la menace est disponible; Télécharger qui va déployer d'autres logiciels malveillants sur les hôtes; Dormir qui suspendre temporairement l'exécution du logiciel malveillant< and Updateself qui réorganise sa forme actuelle. La plupart des virus utilisent également le sophistiqué by-pass de sécurité UAC qui est connu pour être une partie de la plupart des chevaux de Troie de pointe disponibles pour le système Microsoft Windows. Le ver Retadup est chargé en mémoire sous une forme brouillée et crypté qui signifie qu'il sera décrypté en temps réel et, si nécessaire. Cela signifie que dans la plupart des cas la découverte du moteur en cours d'exécution sera très difficile.

L'analyse de la commande et les serveurs de contrôle montre qu'ils sont alimentés par une application Node.js et les données sont stockées dans une base de données MongoDB. L'analyse détaillée montre que dans toutes les versions, il existe différents types de structure organisationnelle. L'analyse fait montre que les informations recueillies dans les bases de données est utilisé par les contrôleurs pour concevoir une interface utilisateur leur permettant de contrôler les hôtes infectés. Certains des échantillons recueillis ont été montre pour permettre aux opérations avancées, Des exemples de tels sont les suivants:

  • Recrutement botnet - Les hôtes peuvent être faites partie d'un réseau international d'ordinateurs infectés. Lorsque cela est fait fait les hôtes compromis peuvent être utilisés dans un groupe pour lancer des attaques dévastatrices contre les réseaux distribués préréglés les rendant ainsi non travail.
  • Miner Chargement crypto-monnaie - L'une des infections les plus courantes qui sont le résultat d'infections virales est le déploiement des mineurs de crypto-monnaie. Il y a des scripts ou des applications de petite taille qui téléchargera une séquence de tâches mathématiques performance lourde et en particulier la CPU, Mémoire, espace disque dur et connexion réseau. Lorsqu'une infection est signalée comme complète aux serveurs les pirates seront câblés prix de directement à leurs crypto-monnaie porte-monnaie.

La situation actuelle avec le ver Retadup

Un grand nombre des domaines et des serveurs associés au ver ont été fermées par les experts. Cependant, cela n'a pas été suffisant pour arrêter la propagation des souches STOP ransomware. Il semble que si ce ver est l'une des sources les plus efficaces de l'infection, il n'est pas le seul et unique. Il est vrai que, après la fermeture de la plupart des serveurs certaines des souches ont diminué dans le volume mais arrêter les virus continuent à développer. Cela nous donne des raisons de croire que l'une de ces déclarations peut être vrai:

  • Le collectif criminel derrière ces serveurs Web sont l'un des principaux développeurs des chaînes STOP ransomware. Cela signifie qu'il est possible que lorsque tous les serveurs sont arrêtés le nombre d'infections en cours augmentera considérablement.
  • La seconde alternative de compréhension de la situation est que les serveurs sont loués ou prêtés par différents groupes de piratage informatique afin de diffuser leurs propres versions de STOP ransomware.
  • Une autre proposition est que ces serveurs sont spécifiquement piraté afin de livrer le ver et les virus STOP associés.

Quel que soit le cas les bonnes nouvelles est que ces opérations sont arrêtés par des experts de sécurité . Cependant dans son ensemble d'échantillons sur STOP ransomware continuent à produire et nous ne nous attendons pas à voir un ralentissement dans la poursuite de leur création et la distribution. Les raisons de cette conclusion est le fait que de nombreuses souches de ce fait sont chaque semaine, ce qui montre qu'ils sont un outil très rentable qui est utilisé par de nombreux collectifs de pirates dans le monde entier.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord