Ransomware na steroidima: Otkrivena nova verzija malvera CryptoWall

Opisi virusa, 09.01.2015, 09:04 AM

Stručnjaci za kompjutersku bezbednost zabrinuti su zbog pojave nove, unapređene verzije malvera CryptoWall koji je poznat po tome što šifruje fajlove na računarima koje inficira, tražeći od žrtava da plate dešifrovanje fajlova.

CryptoWall je bio drugorazredni naslednik poznatog ransomwarea CryptoLocker, koji je uglavnom nestao sa scene kada je ugašena bot mreža Gameover Zeus koja je korišćena za njegovo širenje.

Ransomwarei su pretnja korisnicima računara više od jedne decenije. Iako se jedno vreme činilo da ransomwaeri nisu više pretnja kakva su bili kada su se pojavili, poslednjih godina sajber kriminalci su uspeli da preporode ovu prevaru sa iznenađujućim uspehom.

Metoda koju koriste današnji ransomwarei uglavnom uključuje šifrovanje fajlova da bi se od žrtava tražilo da plate otkup za njihovo dešifrovanje.

Dell SecureWorks je u avgustu prošle godine izneo procenu da je CryptoWall inficirao oko 600000 računara tokom prethodnih šest meseci, kao i da su kriminalci uspeli da naplate otkup u vrednosti od oko milion dolara. Suma koja se traži od ucenjenih korisnika se kreće od 100 do 500 dolara.

CryptoWall koristi jaku kriptografiju javnog ključa, šifrujući fajlove sa određenim ekstenzijama. Žrtve nemaju mnogo izbora ako ne plate otkup. Jedini način da se suprotstave kriminalcima je da vrate fajlove iz backupa, ukoliko ga imaju.

Istraživači iz Cisco Talos Security Intelligence and Research Group su analizirali novu verziju malvera Cryptowall koja donosi neka poboljšanja koja otežavaju otkrivanje i proučavanje malvera.

“Njegov razvoj se nastavlja”, kaže Erl Karter, istraživač Cisco Talosa. “Sajber kriminalci ga izgleda neprestano menjaju pokušavajući da ga učine efikasnijim.”

On radi i na 32-bitnim i 64-bitnim sistemima, što povećava njegove šanse bez obzira kakav računar zarazi.

Uzorak malvera koji su analizirali istraživači poslat je emailom, u “.zip” fajlu. Taj atačment sadrži exploit koji koristi ranjivost CVE-2013-3660 koja omogućava preuzimanje kontrole nad računarom.

Ako je otvoren, CryptoWall dešifruje samo manji deo svog koda koji proverava da li je pokrenut u virtualnom okruženju. On se neće dešifrovati u potpunosti ako otkrije da je pokrenut na virtualnoj mašini.

Moguće je odbraniti se od CryptoWalla dodavanjem lažnih unosa u fajl sistem da bi se malver prevario da je u virtuelnom okruženju, kaže Karter ali dodaje da to verovatno nije način da se dugoročno spreče takve infekcije.

Ako CryptoWall proceni da je bezbedan, on se dešifruje i zatim komunicira sa svojim serverima za komandu i kontrolu koristeći Tor, zbog čega je teško pratiti tu komunikaciju.

Karter kaže da istraživači ne mogu videti IP adrese servera sa kojima se CryptoWall povezuje, čime je blokirana dalja istraga o serverima koji se koriste kao deo infrastrukture malvera.

Više tehničkih detalja o ovome možete naći na Cisco blogu.