O worm Retadup está sendo fechado por especialistas em informática, este é o malware que é responsável por grande parte das versões PARAR ransomware. O worm se espalha principalmente na América Latina e tem uma extensa seqüência de malware que é executado quando os hosts de destino estão comprometidos. Especialistas em segurança estão a tentar desligá-lo com o melhor de sua capacidade limitando assim a propagação do ransomware parada, que é o seu principal payload.
PARAR Ransomware está sendo interrompido por desligar o Retadup Worm
O worm Retadup é uma ameaça muito perigosa que é descrito em vários relatórios como uma das principais operadoras de amostras ransomware PARAGEM. Eles são ameaças ransomware penetrantes que são um dos mais incômodos ameaças de vírus como muitas das campanhas atuais de ataque em curso carregá-lo. Uma equipe de especialistas em segurança têm sido capazes de encontrar uma maneira de parar o lançamento da ameaça que diminuiu rapidamente o número de computadores infectados com o vírus PARAR.
O worm Retadup é uma ameaça muito perigosa que é descrito em vários relatórios como uma das principais operadoras de amostras ransomware PARAGEM. Eles são ameaças ransomware penetrantes que são um dos mais incômodos ameaças de vírus como muitas das campanhas atuais de ataque em curso carregá-lo. Uma equipe de especialistas em segurança têm sido capazes de encontrar uma maneira de parar o lançamento da ameaça que diminuiu rapidamente o número de computadores infectados com o vírus PARAR.
Uma investigação aprofundada sobre a ameaça foi feita por uma equipe de segurança olhando para o paradeiro do comando e controle principal (C&C) servidores - uma vez que eles são identificados os especialistas podem tentativa de combater as infecções. A infra-estrutura foi encontrado para ser hospedado em França, que levou os analistas a contactar o National Gendarmerie francesa - eles forneceram um uma ordem dando os especialistas a luz verde para tentar e neutralizar os servidores com o melhor de sua capacidade. Como resultado, a actividade do vírus foi severamente diminuída parando assim a libertação de muitas amostras PARAR ransomware. No entanto isso não impediu que outros grupos de hacking em liberar novas variantes do vírus.
Atividade Worm Retadup: Como ele se entregar A STOP ransomware Vírus
O que é particularmente interessante sobre este malware que tem estado em desenvolvimento por vários anos antes de um grupo criminoso tem usado para o propósito de difundir as amostras PARAR ransomware. Ao longo dos anos vários módulos e componentes foram adicionados ele eo motor principal foi melhorada. No momento da escrita deste artigo a versão principal é composta de dois arquivos: o intérprete de linguagem de script e o próprio script. Um embutido sequência será lançado, que irá executar vários componentes, uma lista exemplo deles é o seguinte:
- Worm verificação de instalação - Uma das primeiras ações que são feitas pelo mecanismo de infecção é para verificar se há uma infecção running ativa. Isto é feito, a fim de verificar se há ou não o anfitrião é um ambiente de depuração ou convidado máquina virtual. Ele vai parar se este cheques positiva.
- Instalação persistente - O worm Retadup será instalado de uma maneira que irá iniciá-lo automaticamente assim que o sistema é inicializado. É possível desativar o acesso às opções de inicialização de recuperação que torna muito difícil para os usuários a recuperar os seus sistemas. Ele também pode se espalhar para outros hospedeiros, tais como dispositivos de armazenamento removíveis e compartilhamentos de rede disponíveis.
- Operações Trojan - O worm irá estabelecer uma conexão segura e persistente para o servidor controlado por hackers, se acessível. Isso permitirá que os criminosos para assumir o controle dos anfitriões e sequestrar quaisquer dados que são encontrados neles.
- Alterações de Registro do Windows - O motor principal foi confirmado para cometer diferentes tipos de mudanças para os hospedeiros infectados. As conseqüências incluem problemas com o funcionamento de certas aplicações e serviços, problemas de desempenho e perda de dados.
Os comandos, que são mais frequentemente utilizadas durante o comando das amostras de vírus são Atualizar usado para verificar se uma versão mais recente da ameaça está disponível; Baixar que irá implantar outro malware para os anfitriões; Dormir que irá interromper temporariamente a execução do malware< and Updateself que vai reorganizar sua forma atual. A maioria dos vírus também usar o sofisticado ignorar a segurança UAC que é conhecida por ser uma parte da maioria dos Trojans avançados disponíveis para o sistema Microsoft Windows. O Worm Retadup é carregado na memória de forma ofuscado e crypted o que significa que ele vai ser decifrado em tempo real e, quando necessário. Isto significa que na maioria dos casos descoberta do motor em funcionamento serão feitas muito difícil.
A análise dos servidores de comando e controle mostra que eles são alimentados por uma implementação Node.js e os dados são armazenados em um banco de dados MongoDB. Os shows análise detalhada que ao longo dos versões existem diferentes tipos de estrutura organizacional. Os shows análise feita que as informações recolhidas nas bases de dados são usados pelos controladores para criar uma interface de utilizador permitindo-lhes controlar os hosts infectados. Algumas das amostras recolhidas foram mostras para permitir operações avançadas, exemplos de tais são os seguintes::
- botnet Recrutamento - Os anfitriões pode ser parte de uma rede internacional de computadores infectados. Quando isso é feito fato dos hosts comprometidos pode ser usado em um grupo para lançar ataques devastadores distribuídas contra redes predefinidos tornando-os, assim, não-trabalho.
- Criptomoeda Miner Carregando - Um dos mais comuns infecções que são o resultado de infecções por vírus é a implantação de mineiros criptomoeda. Há-de pequeno porte scripts ou aplicativos que irá baixar uma sequência de tarefas matemáticas de desempenho pesado e particularmente a CPU, memória, espaço em disco e conexão de rede. Quando uma infecção é relatado como completo para os servidores dos hackers será prêmio criptomoeda com fio diretamente para suas carteiras.
A situação atual com o Worm Retadup
Um grande número de domínios e servidores associados com o worm foram fechados pelos peritos. No entanto, isto não foi suficiente para impedir a disseminação das cepas PARAR ransomware. Parece que enquanto este worm é uma das fontes mais eficientes da infecção, não é o único. É verdade que depois do fechado para baixo de muitos dos servidores de algumas das estirpes diminuíram de volume no entanto vírus PARAR continuar a ser desenvolvido. Isso nos dá razões para acreditar que uma dessas declarações podem ser verdade:
- O coletivo criminosa por trás desses servidores web são um dos principais desenvolvedores das cordas PARAR ransomware. Isto significa que é possível que, quando todos os servidores estão parados o número de infecções em curso irá aumentar dramaticamente.
- O segundo entendimento alternativo da situação é que os servidores são alugados ou cedidos por diferentes grupos de hackers para espalhar suas próprias versões do ransomware PARAR.
- Outra proposta é que esses servidores são cortadas especificamente, a fim de entregar o verme e os vírus de parada associados.
Seja qual for o caso, a boa notícia é que tais operações estão sendo parados por especialistas em segurança . No entanto at-large ransomware PARAR amostras continuam a ser produzidos e não esperamos ver uma desaceleração no seu posterior criação e distribuição. As razões para esta conclusão é o fato de que muitas cepas de que são feitas a cada semana que mostra que eles são uma ferramenta muito rentável, que é usado por muitos coletivos de hackers ao redor do mundo.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: