Denk aan de lekken van exploits gebruikt door de WannaCry SMB worm die meer dan veroorzaken 240,000 detecties in 48 uur? Als je dat doet, je zou herinneren dat ze werden genoemd Eternalblue en DoublePulsar. Een nieuwe worm is verschenen, die de naam EternalRocks en het de mogelijkheid nog meer brute dan degene die werd gebruikt om WannaCry ransomware repliceren en infecteren computers binnen massieve uitbraak te.
EternalRocks en de mogelijkheden
In tegenstelling tot de worm die wordt gebruikt om WannaCry ransomware die gebruik maakt verspreid 2 exploits op basis van de SMB-services in het Windows-besturingssysteem, de EternalRocks worm gebruik 7 van de exploits gelekt door TheShadowBrokers begin 2017. De prestaties die waren SMB-georiënteerd in de lek zijn de volgende:
- Eternalblue
- EternalChampion
- EternalRomance
- EternalSynergy
Naast deze directe SMB exploits, EternalRocks maakt ook gebruik van de exploits ingezet voor het verzamelen van informatie, bekend als:
- SMBTouch
- ARCHITouch
De worm maakt ook gebruik van de DoublePulsar gebruikt door de SMB-worm in het oog te houden verspreiding naar andere machines die nog niet gepatcht.
Het verschil tussen beide wormen is aanzienlijk hoger aantal exploits die worden gebruikt om een computer te infecteren, betekent indien de EternalRocksworm werd uitgebracht in plaats van het SMB-worm, aanzienlijk hoger bedrag van computers had kunnen worden besmet met WannaCry ransomware (over 240,000 infecties).
Echter, er is ook het feit dat de EternalRocks worm maakt gebruik van een meer vertraagd infectieproces, omdat het twee fasen van zelf te installeren op een bepaalde computer.
Malware onderzoekers het gevoel ervan overtuigd dat deze vertraging wordt veroorzaakt door meerdere verschillende activiteiten die tot doel hebben de worm te verdoezelen, terwijl het infecteert de computers.
Momenteel, EternalRocks is volkomen onschadelijk, want het is niet geactiveerd en veel van de Windows-computers zijn zogenaamd opgewaardeerd na de massale WannaCry uitbraak is geconstateerd 1 week geleden.
Echter, de worm heeft een functie die ontbreekt in de SMB worm gebruikt om WannaCry verspreiden en die functie is om te kunnen om zich te verspreiden zonder een zogenaamde “kill switch” webdomein. Dergelijke domein werd gestopt door de malware onderzoeker met de bijnaam MalwareTech (@MalwareTechBlog) in Twitter. Als deze worm is vrijgegeven, het enige wat te voorkomen dat het zou zijn om uw Windows-systeem volledig opgewaardeerd met de nieuwste security patches, want er is geen manier voor malware onderzoekers om het te stoppen. Velen voelen ervan overtuigd dat de meeste ransomware cyber-criminelen zou willen om hun handen te krijgen op deze worm, dus we raden aan blijf Veilig en leren hoe ze houd uw gegevens veilig voordat het onvermijdelijke gebeurt.