Huis > Cyber ​​Nieuws > Retadup Worm die verantwoordelijk is voor STOP Ransomware-infecties wordt afgesloten
CYBER NEWS

Retadup Worm Verantwoordelijk voor STOP Ransomware Infecties uitgeschakeld wordt

Retadup worm

De Retadup worm wordt stilgelegd door computerspecialisten, dit is de malware die verantwoordelijk is voor het grootste deel van het STOP ransomware versies. De worm wordt voornamelijk verspreid in Latijns-Amerika en het heeft een uitgebreide malware sequentie die wordt uitgevoerd wanneer het doel hosts in het gedrang komen. Security experts proberen om het te sluiten om het beste van hun vermogen waardoor de verspreiding van het STOP ransomware te beperken die is haar belangrijkste payload.




STOP Ransomware wordt gestopt door het uitschakelen van de Retadup Worm

De Retadup worm is een zeer gevaarlijke bedreiging die in verscheidene rapporten wordt beschreven als een van de belangrijkste dragers van STOP ransomware monsters. Ze zijn alomtegenwoordig ransomware bedreigingen die een van de meest hinderlijke virussen zijn zo veel van de huidige lopende aanval campagnes dragen. Een team van security experts zijn in staat om een ​​manier van het stoppen van de release van de dreiging die snel het aantal geïnfecteerde computers is afgenomen met de STOP-virus te bedenken geweest.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/remove-stop-ransomware/”]Verwijder STOP DJVU Ransomware + Decoderen Files (bijgewerkt tot augustus 2019)

De Retadup worm is een zeer gevaarlijke bedreiging die in verscheidene rapporten wordt beschreven als een van de belangrijkste dragers van STOP ransomware monsters. Ze zijn alomtegenwoordig ransomware bedreigingen die een van de meest hinderlijke virussen zijn zo veel van de huidige lopende aanval campagnes dragen. Een team van security experts zijn in staat om een ​​manier van het stoppen van de release van de dreiging die snel het aantal geïnfecteerde computers is afgenomen met de STOP-virus te bedenken geweest.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/ws-discovery-protocol-ddos/”]WS-Discovery Protocol bloot 630,000 Apparaten om DDoS-aanvallen

Een diepgaand onderzoek naar de dreiging werd gemaakt door een security team op zoek naar de verblijfplaats van de belangrijkste command and control (C&C) servers - als ze eenmaal zijn geïdentificeerd de experts kunnen proberen om de infecties tegen te gaan. De infrastructuur werd gevonden worden gehost in Frankrijk, die de analisten gevraagd om contact op met de Franse Nationale Gendarmerie - op voorwaarde dat ze een een bevel geven de experts het groene licht om te proberen en neutraliseren van de servers om het beste van hun vermogen. Als gevolg van de virusactiviteit heeft een ernstig verminderde dus het stoppen van de vrijlating van vele STOP ransomware samples. Dit heeft echter niet gestopt met andere hacken groepen in het vrijgeven van nieuwe varianten van het virus.

Retadup Worm Activity: How Does It Deliver De STOP Ransomware Virussen

Wat is bijzonder interessant over deze malware is in ontwikkeling voor meerdere jaren is eerder een criminele groep die het heeft gebruikt voor het doel van het verspreiden van het STOP ransomware monsters. In de loop der jaren verschillende modules en componenten hebben het toegevoegd en de hoofdmotor is verbeterd. Op het moment van schrijven van dit artikel de grote versie is opgebouwd uit twee bestanden: het script tolk en het script zelf. Een ingebouwde sequentie wordt ingesteld, waarbij verschillende componenten wordt uitgevoerd, een voorbeeld lijst van hen is het volgende:

  • Worm Installatie controleren - Een van de eerste acties die worden uitgevoerd door de infectie motor om te controleren of er een actieve lopende infectie. Dit wordt gedaan om te controleren of de gastheer is een debug omgeving of virtuele machine gast. Het zal stoppen als deze positieve controles.
  • persistent Installatie - De Retadup worm zal worden geïnstalleerd op een manier die automatisch zal starten zodra het systeem opstart. Het kan de toegang tot het herstel boot opties waardoor het zeer moeilijk uit te schakelen voor de gebruikers om hun systemen te herstellen. Het kan zich ook verspreiden naar andere gastheren, zoals verwijderbare opslagapparaten en beschikbare netwerkshares.
  • Trojan Operations - De worm zal een veilige en permanente verbinding naar de hacker gecontroleerde server vast te stellen, indien bereikbaar. Hierdoor kan de criminelen om de controle over de gastheren alle gegevens die is gevonden op hen te nemen en te kapen.
  • Windows Registry Changes - De belangrijkste motor is bevestigd aan verschillende soorten wijzigingen door te voeren op de geïnfecteerde gastheren. De gevolgen zullen onder meer problemen met het uitvoeren van bepaalde toepassingen en diensten, problemen met de prestaties en verlies van gegevens.
Verwant: [wplinkpreview url =”https://sensorstechforum.com/baldr-malware-csgo-apex-legends/”]Baldr Malware Set Against CS:GO en Apex Legends Cheaters

De commando's die het meest worden gebruikt tijdens de commandant van het virus monsters Update gebruikt om te controleren of er een nieuwere versie van de dreiging is beschikbaar; Download die andere malware op de gastheren inzetten; Slaap die tijdelijk pauzeert de uitvoering van de malware< and Updateself die zijn huidige vorm reorganiseren. Het merendeel van de virussen ook de verfijnde gebruik UAC beveiliging bypass die staat bekend als een onderdeel van de meeste van de geavanceerde Trojans beschikbaar voor het Microsoft Windows-systeem. De Retadup Worm wordt geladen in het geheugen per versluierd en versleutelde vorm waardoor het wordt gedecodeerd in real-time en indien nodig. Dit betekent dat in de meeste gevallen ontdekking van de draaiende motor zal zeer moeilijk worden gemaakt.

De analyse van de command and control servers laat zien dat ze worden aangedreven door een Node.js implementatie en de gegevens worden opgeslagen in een MongoDB databank. De gedetailleerde analyse blijkt dat gedurende de versies zijn er verschillende soorten van de organisatiestructuur. De gemaakte analyse blijkt dat de informatie die in de gegevensbestanden wordt gebruikt door de controllers ambachtelijke een gebruikersinterface waarmee zij de geïnfecteerde gastheer besturen. Een deel van de verzamelde monsters hebben shows en geavanceerde handelingen mogelijk te maken geweest, Voorbeelden hiervan zijn de volgende:

  • botnet Recruitment - De gastheren kan worden gemaakt deel uit van een internationaal netwerk van geïnfecteerde computers. Wanneer dit feit maakte de gecompromitteerde gastheren kunnen worden gebruikt in een groep te verwoestende gedistribueerde aanvallen op vooraf ingestelde netwerken te lanceren zodat zij hun niet-werkende.
  • Cryptogeld Miner Loading - Een van de meest voorkomende infecties die het gevolg zijn van het virus infecties zijn is de inzet van cryptogeld mijnwerkers. Er zijn kleine scripts of toepassingen die een reeks van prestatie-zware wiskundige taken en met name de CPU wordt gedownload, geheugen, schijfruimte en de netwerkverbinding. Wanneer een infectie wordt gerapporteerd als volledig zijn om de servers van de hackers zullen direct worden aangesloten cryptogeld toe te kennen aan hun portemonnee.

De huidige situatie met de Retadup Worm

Een groot aantal van de domeinen en servers in verband met de worm werden stilgelegd door de deskundigen. Maar dit is niet genoeg geweest om de verspreiding van het STOP ransomware stammen stoppen. Het lijkt erop dat, terwijl deze worm is een van de meest efficiënte bronnen van de infectie, Het is niet de enige. Het is waar dat na de uitschakeling van veel van de servers een aantal van de stammen zijn gedaald in volume echter STOP virussen verder worden ontwikkeld. Dit geeft ons redenen om te geloven dat een van deze uitspraken onmogelijk waar kan zijn:

  • De strafrechtelijke collectief achter deze webservers zijn een van de belangrijkste ontwikkelaars van het STOP ransomware strings. Dit betekent dat het mogelijk is dat wanneer alle servers zijn gestopt met het aantal lopende infecties zal drastisch toenemen.
  • Het tweede alternatief begrip van de situatie is dat de servers worden verhuurd of uitgeleend door verschillende hacking groepen om hun eigen versies van de STOP ransomware verspreiden.
  • Een ander voorstel is dat deze servers specifiek gehackt om de worm en de daarbij behorende STOP om virussen.

In ieder geval het goede nieuws is dat dergelijke operaties worden gestopt door security experts . Echter at-large STOP ransomware monsters blijven worden geproduceerd en we verwachten niet te zien een vertraging in hun verdere creatie en distributie. De redenen voor deze conclusie is het feit dat een groot aantal stammen van het elke week worden gemaakt waaruit blijkt dat ze een zeer winstgevend instrument dat wordt gebruikt door veel hacker collectieven rond de wereld.

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...