Haut 3 Familles de Ransomware 2015. CryptoWall - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
Suppression des menaces

Haut 3 Familles de Ransomware 2015. CryptoWall

Dans une série de trois articles, nous allons analyser les caractéristiques des familles ransomware de CryptoWall, Cryptolocker et TorrentLocker. Les trois familles se sont avérés être les plus notoires celles, générer de grandes quantités d'argent et affectant des milliers de fichiers. Dans la première partie, nous allons aussi mettre l'accent sur les caractéristiques communes que partagent les trois menaces. Commençons par CryptoWall…

Top3-Ransomware-familles-2015-CryptoWallRansomware a été autour depuis de nombreuses années, bien que le ransomware de fichiers de cryptage est assez nouveau dans le monde des logiciels malveillants. La menace de cryptage de fichier a été observé pour la première dans 2013, lorsque la première variante des infections de cryptolocker a eu lieu. Ces attaques ont permis de remonter à l'auteur du malware infâme bancaire Zeus - Yevgeny Mikhaïlovitch bogachan aussi connu par son surnom Slavik.

Le vicieux 2013 Cryptolocker a été suivie par de nombreuses autres attaques. Certains d'entre eux faisaient partie de la famille cryptolocker, tandis que d'autres ne sont pas connus et ont émergé de complètement nouvelles familles. Certaines de ces menaces ransomware ont été rapidement mis en sommeil, et d'autres sont restés actifs pendant une période de temps plus longue.

Au bord de 2016, chercheurs de malwares à Fox IT ont réussi à identifier trois grandes familles Ransomware, dont les membres ont généré des revenus énorme dans 2015:

Similitudes dans le comportement de la menace de CryptoWall, CryptoLocker, TorrentLocker

Les trois ransomware ont de nombreuses variantes, plupart d'entre eux étant toujours actif à l'état sauvage. Les attaques ont eu lieu dans des modèles similaires et ont affecté les pays de partout dans le monde - principalement par le biais d'exploiter kits et faux courriels présentant des organisations comme officielles.

Alors que les variantes de ransomware multiples ont affiché différents modèles de comportement, les types de fichiers ils sont après et leurs fonctionnalités cryptographiques sont souvent très semblables. Nous allons analyser CryptoWall, puis CTB-Locker et TorrentLocker, en fonction des deux facteurs indiqués ci-dessous:

1.Comportement de système de fichiers

La plupart des types ransomware sont conçus pour placer leurs fichiers d'instructions de paiement dans le répertoire des fichiers qui sont sur le point d'être crypté. Ces fichiers sont typiquement sous la forme d'un texte, image et / ou URL. Changer le fond d'écran de l'ordinateur infecté à ces instructions est également une caractéristique commune. En outre, une fenêtre popup peut également être inclus pour assurer que l'utilisateur sait que ses fichiers sont cryptés et il ne peut les restaurer en payant une rançon .Dans attaques sur les entreprises, certains types de ransomware peuvent crypter des fichiers sur des disques qui sont réseau mappé sur l'ordinateur de la victime.

2.Le comportement du réseau

La plupart des familles ransomware communiquent avec une commande & serveur de contrôle. La communication peut se produire soit par Tor ou, dans les autres cas, à travers un site WordPress compromis.

Doit lire

Sites WordPress ciblée par des logiciels malveillants

75 WordPress millions de sites à risques

CryptoWall menace Comportement Drilldown

Des recherches approfondies sur CryptoWall indique qu'il a été autour depuis Novembre 2013 ou peut-être même plus tôt. Cependant, le cryptage menace malveillante est active et dans un processus de développement prolongée avant qu'il ne devienne connu comme CryptoWall. La pièce ransomware a été initialement connu comme CryptoDefense. À l'époque, la menace serait générer les clés de cryptage sur la machine locale, quelque chose de ses auteurs fixés dans les versions ultérieures.

CryptoDefense a vécu de nombreux changements à évoluer dans le ransomware plus malveillante à cette date - CryptoWall 3.0.

Les versions antérieures de CryptoWall ont été fixés pour communiquer via des serveurs proxy qui transférer le trafic vers la commande & serveur de contrôle situé à Tor. Dans les nouvelles versions de CryptoWall, la communication avec le serveur de contrôle est passé directement sur le réseau Tor. Même si cela peut avoir été fait seulement dans une version d'essai de la menace, il a ensuite été utilisé par les criminels comme leur principale méthode de communication à distance.

Dans les versions ultérieures, un réseau I2P a été utilisé. Après avoir traversé de nombreux tests, les auteurs ransomware installés pour une configuration de communication avec deux couches de procurations. Ces procurations sont situés sur les sites Web piratés. Même si ces serveurs sont rapidement mis hors ligne, ils sont toujours en vigueur pour les criminels. Vous pouvez vous demander pourquoi. CryptoWall seulement besoin d'une connexion à être en mesure d'obtenir une clé de chiffrement. Pour le dire en d'autres termes, CryptoWall n'a pas besoin d'une commande cohérente & serveur de contrôle. Cette fonctionnalité est la principale différence entre CryptoWall et d'autres morceaux de logiciels malveillants.

En savoir plus sur CryptoWall 3.0 mécanismes et comment protéger votre système.

Secret de la réussite CryptoWall

Celui qui a inventé CryptoWall a également créé un programme d'affiliation, rendant ainsi le logiciel de rançon accessible à d'autres personnes. Ces programmes d'affiliation stimuler sensiblement le revenu généré par CryptoWall, et sont également utilisés par d'autres formes de ransomware.

Comportement CryptoWall Réseau

Une fois sur le système cible, CryptoWall met à la recherche d'un serveur proxy fonctionnement. Lorsque tel se trouve, le malware commencer à envoyer sa commande & serveur de contrôle les bits d'information suivants:

  • Un identifiant de campagne uniques pour déterminer la source de l'infection.
  • Son adresse IP pour localiser l'infection géographiquement.
  • Son identificateur unique de sorte que l'infection particulier est isolé à partir d'autres infections.

Après ceux-ci sont contrôlés, le serveur répond par:

  • L'emplacement de la page de paiement de rançon, mis à disposition pour les victimes d'acheter le logiciel de décryptage.
  • Le pays de la victime.
  • La clé publique RSA-2048 appliqué pour le chiffrement de fichier.

Une fois que l'information nécessaire est obtenue par les pirates, CryptoWall rendra compte le montant exact des fichiers cryptés à son serveur de commande et de contrôle. Le serveur va alors répondre avec une image de rançon affiché à l'utilisateur:
CryptoWall3_0 rançon message

CryptoWall Comportement de système de fichiers

En dehors de chiffrer les fichiers spécifiés dans la liste des types de fichiers cible, CryptoWall veillera également à:

  • Déposez l'image de l'écran de verrouillage.
  • Déposer un fichier TXT contenant les mêmes instructions que sur l'image de la rançon.

CryptoWall sera également désactiver les clichés instantanés de volume, également connu sous le Volume Snapshot Service, Volume Shadow Copy Service ou simplement VSS. L'écran de démarrage de récupération d'erreurs Windows sera également désactivé. En plus de tout cela, CryptoWall gênera les mises à jour Windows et désactive les services de sécurité sur la machine de la victime.

Cet article est basé sur la recherche par la société néerlandaise Fox IT.

À suivre…

Restez à l'écoute! Partie II arrive bientôt! Jusque-là, vous êtes les bienvenus à rejoindre nos forums de sécurité et nous parler de votre expérience avec ransomware!

Mise à jour: Partie II. CTB-Locker.

donload_now_250
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...