LockyおよびZeptoランサムウェアプロジェクトの背後にいるマルウェア作成者は、ますます多くのユーザーに感染し、ランサムウェアチャートの上位に留まるだけでなく、常に機能していることをもう一度証明しました。, しかし、彼らはまた、それらの攻撃をさらに成功させるために感染手順自体に取り組んでいます – .DLLファイルインジェクションを使用する.
こちらです, これらのサイバー犯罪者は、感染方法を改善しました。これは、非常に重要な「ボトルネック」、つまり、ランサムウェアの暗号化と悪意のある暗号化およびその他のサポートモジュールの削除を実行するために使用されるファイルの種類に焦点を当てていることです。.
なぜ新しい感染方法なのか?
背後にあるハッキングチーム ロッキー と ゼプト 未知のままで、これまでに望んでいた人は、以前はさまざまな拡散方法を使用していました, JavaScriptのように (.JS) ファイル, 「ファイルレス」ランサムウェアとも呼ばれ、電子メールや悪意のあるURLに直接添付された悪意のある実行可能ファイルやエクスプロイトキット. これらのファイルは十分に難読化されて大量に拡散したため、これにより感染の成功率が高くなりました。.
関連記事: ロッキー, DridexボットネットはTeslaCryptも提供しています(Lockyスパム感染に関する詳細情報)
でも, 以前に使用された実行可能ファイルとは異なり, Lockyランサムウェアの背後にいるハッカーは、プロセスrundll32.exeを介して.dllファイルを実行する可能性を作成する変更をまだ行っています。. ほとんどのウイルス対策製品は、このプロセスを正当なプロセスとして設定し、悪意のあるアクティビティのスキャンをスキップする傾向があるため、疑わしいアクティビティを検出しません。, システムはZeptoまたはLockyのいずれかに感染します, まだ被害者のファイルを暗号化しています.
DLL感染はどのように機能しますか?
この感染プロセスがどのように機能するかを理解するには, rundll32.exeプロセスが正確に実行する内容を分析する必要があります.
もともとrundll32.exeは、いわゆるダイナミックリンクライブラリを実行するために使用されるアプリケーションです。 (DLL) ファイル, 直接実行する方法がないため. これは1つの方法であり、おそらくLockyまたはZeptoが被害者のコンピューターに正常に感染するために使用する可能性のある手法です。. でも, マルウェア対策プログラムが疑わしい活動を捕らえることがあり、これが理由です, ウイルスはいわゆるプロセス難読化を使用します, DLLファイルを作成して最新のアンチウイルス定義をスキップする. ファイルクリプターとしても知られるこのような難読化ツールは非常に高価であり、見過ごされ続ける能力は非常に速く消滅します。, ほとんどのウイルス対策プログラムは頻繁に更新されるため.
LockyとZeptoはキャンペーンをさらに精力的に継続します
LockyとZeptoのランサムウェアは、ランサムウェアの世界で最大の名前の1つです。. これらのウイルスの使用は、それらの背後にあるチームがそれらのウイルスを存続させるために多くの時間を費やし、この分野でも多くの経験を持っていることを示唆しています. これを示す1つの指標は、ウイルスが依然としてユーザーに感染しており、ほとんどのランサムウェアウイルスは通常、短期間でライフサイクルを終了することです。. でも, 絶えず変化する感染方法 (JavaScript, 悪意のある実行可能ファイル, リモートブルートフォーシング) LockyとZeptoが滞在し、ユーザーを犠牲にしてお金を稼ぎ続けるためにここにいることを示唆します.
Ventsislav Krastev
Ventsislavは、SensorsTechForumのサイバーセキュリティの専門家です。 2015. 彼は研究してきました, カバー, 最新のマルウェア感染に加えて、ソフトウェアと最新の技術開発のテストとレビューで被害者を支援します. マーケティングも卒業した, Ventsislavは、ゲームチェンジャーとなるサイバーセキュリティの新しいシフトとイノベーションを学ぶことに情熱を注いでいます. バリューチェーン管理を学んだ後, システムアプリケーションのネットワーク管理とコンピュータ管理, 彼はサイバーセキュリティ業界で彼の本当の呼びかけを見つけ、オンラインの安全性とセキュリティに向けたすべてのユーザーの教育を強く信じています.
フォローしてください: