Video: Full hard encryption Ransomware attack payment via bitcoin worst virus ever (Oktober 2024)
Forskere har opdaget en ny variant af CryptoLocker ransomware, som potentielt kan inficere endnu flere brugere end den originale version.
De kriminelle bag CryptoLocker ser ud til at have ændret ransomware fra en trojan til en USB-spredende orm, skrev forskere fra Trend Micro på sin Security Intelligence-blog for nylig. Som trojan kunne CryptoLocker ikke sprede sig selv for at inficere brugercomputere. Det var afhængig af brugere til at åbne en vedhæftet fil til e-mail eller klikke på et link i en e-mail for at udføre og installere sig selv på computeren. Som en orm kan CryptoLocker imidlertid replikere sig selv og sprede sig via aftagelige drev.
Hvis du har brug for en genopfriskning, er CryptoLocker ransomware. Dette er en type malware, der låser filer på din computer og kræver løsepenge for at låse filerne op. Filerne er krypterede, så fjernelse af malware ikke frigiver filerne. Den eneste måde at få filerne tilbage på er at betale de kriminelle, uanset hvilket beløb de vælger (de seneste angreb har indeholdt krav til BitCoins) eller bare tør computeren og gendanne fra sikkerhedskopi.
Den nye version af malware foregiver at være en aktivator til software som Adobe Photoshop og Microsoft Office på peer-to-peer (P2P) fildelingssider, sagde Trend Micro. Upload af malware til P2P-websteder giver dårlige fyre let infektion af systemer uden at bryde med spam-beskeder, ifølge blogindlægget.
"De onde fyre bag denne nye variant behøver ikke sprænge en e-mail-kampagne for spam for at sprede deres malware, " sagde Graham Cluley, en sikkerhedsforsker.
Hvordan en orm inficerer
Forestil dig et simpelt scenarie. Du låner et USB-drev for at flytte en fil fra en computer til en anden eller for at give nogen en kopi af filen. Hvis dette drev blev inficeret med CryptoLocker-ormen, ville alle computere, som drevet er tilsluttet, blive inficeret. Og hvis denne computer er tilsluttet et netværk, kan Cryptolocker-arbejdet kigge efter andre tilsluttede drev.
"Det kan muligvis gøre det lettere for CryptoLocker at inficere pc'er i din organisation, " sagde Cluley.
Der er dog et godt tegn på denne nye variant. Den originale CryptoLocker malware anvendte domænegenereringsalgoritmen (DGA) til periodisk at generere et stort antal domænenavne til at oprette forbindelse til kommando-og-kontrol (C&C) serveren. Den nye version af CryptoLocker bruger på den anden side ikke DGA, da URL'en til kommando-og-kontrolserverne er hardkodet i ransomware, sagde Trend Micro. Dette gør det lettere at registrere og blokere de relaterede ondsindede webadresser.
Imidlertid kan det muligvis bare betyde, at malware stadig er i færd med at blive forbedret og forbedret, og senere versioner af ormen kan have DGA-kapacitet, advarede Trend Micro. Når det først inkluderer DGA, ville det være vanskeligere at registrere og blokere ransomware.
Hvad skal jeg gøre?
Trend Micro og Cluley havde et par anbefalinger til, hvad de skal gøre:
Brugere bør undgå at bruge P2P-websteder for at få kopier af software og holde sig til officielle eller hæderlige websteder.
Brugere skal også være ekstremt omhyggelige med at tilslutte USB-drev til deres computere. Hvis du fandt en liggende, skal du ikke tilslutte den for at se, hvad der kan være på den.
"Sørg for, at du følger sikker databehandlingspraksis og er omhyggelig med, hvad du kører på dine computere, og glem ikke at holde din antivirus opdateret og din viden om dig, " sagde Cluley.
