Петгодишна рансъмуер заплаха се активизира отново
.td_uid_42_5c835e8ba08d2_rand.td-a-rec-img{text-align:left}.td_uid_42_5c835e8ba08d2_rand.td-a-rec-img img{margin:0 auto 0 0}
Макар и в немалка степен в последната година рансъмуер заканите да бяха изместени от криптоминьорите, като главен способ за генериране на облага на киберпрестъпниците, криптовирусите си остават все по този начин и витална и действителна заплаха.
Тази седмица, компанията за осведомителна сигурност Mlawrebytes обръща внимание на Troldesh (или Shade) – опасност, която е позната на експертите от края на 2014/началото на 2015 година. Първоначално открита от експертите от KasperskyLab, опасността съставлява комплициран рансъмуер, който е дело на умели в техническо отношение създатели, най-вероятно от рускоговоряща страна. През годините, Troldesh претърпява няколко промени и разновидността, като с това биват променяни съществени негови характерности, като да вземем за пример разширенията, които слага в края на заключените файлове: xbtl,.cbtl,.da_vinci_code,.magic_software_syndicate,.no_more_ransom,.crypted000007,.windows10, breaking_bad и други
Причината, заради която MBAM вземат решение да извърнат внимание на Troldesh точно в този момент е, че в края на предходната и началото на тази година, те записват неочакван растеж на разпространяването му. Особености за Shade са това, че създателите му постоянно употребяват компрометирани CMS платформи, с цел да съхраняват рансъмуер пробите. Самото му разпространяване бива реализирано посредством спам акции – разпращане на имейл известия, в които има като атачмънт ZIP списък, в който се съдържа JavaScript, при чието осъществяване се задейства процеса по заразяване и криптиране на данните. А с изключение на високите равнища на криптиране и това, че той постоянно получава обновяване, което пречи на засичането му и разбора за основаването на правилен декриптиращ инструмент, е това, че разпространителите му употребяват общоприети имейл домейни за връзка с жертвата (както показва разбор на една от офанзивите на CheckPoint). Следва препращане към Tor пространството за по-нататъшни указания. MBAM акцентират, че за някои от разновидностите, въпреки всичко има декриптори на страниците на No More Ransom (да се търси под името Shade).
.td_uid_41_5c835e8b9febd_rand.td-a-rec-img{text-align:left}.td_uid_41_5c835e8b9febd_rand.td-a-rec-img img{margin:0 auto 0 0}
„ Това, което отличава Troldesh от останалите рансъмуер разновидности е големия брой readme#.txt файлове, които рансъмуерът оставя на инфектираната система, както и имейла като метод за контакт с създателите на опасността. При останалото, той употребява типичен вектор за офанзива, който разчита на това да подлъже неинформираните жертви. Независимо от това, той беше прекомерно сполучлив, както в предишното, по този начин и в актуалната вълна от офанзиви “, предизвестяват от Malwarebytes.
.td_uid_43_5c835e8ba14cc_rand.td-a-rec-img{text-align:left}.td_uid_43_5c835e8ba14cc_rand.td-a-rec-img img{margin:0 auto 0 0}
Макар и в немалка степен в последната година рансъмуер заканите да бяха изместени от криптоминьорите, като главен способ за генериране на облага на киберпрестъпниците, криптовирусите си остават все по този начин и витална и действителна заплаха.
Тази седмица, компанията за осведомителна сигурност Mlawrebytes обръща внимание на Troldesh (или Shade) – опасност, която е позната на експертите от края на 2014/началото на 2015 година. Първоначално открита от експертите от KasperskyLab, опасността съставлява комплициран рансъмуер, който е дело на умели в техническо отношение създатели, най-вероятно от рускоговоряща страна. През годините, Troldesh претърпява няколко промени и разновидността, като с това биват променяни съществени негови характерности, като да вземем за пример разширенията, които слага в края на заключените файлове: xbtl,.cbtl,.da_vinci_code,.magic_software_syndicate,.no_more_ransom,.crypted000007,.windows10, breaking_bad и други
Причината, заради която MBAM вземат решение да извърнат внимание на Troldesh точно в този момент е, че в края на предходната и началото на тази година, те записват неочакван растеж на разпространяването му. Особености за Shade са това, че създателите му постоянно употребяват компрометирани CMS платформи, с цел да съхраняват рансъмуер пробите. Самото му разпространяване бива реализирано посредством спам акции – разпращане на имейл известия, в които има като атачмънт ZIP списък, в който се съдържа JavaScript, при чието осъществяване се задейства процеса по заразяване и криптиране на данните. А с изключение на високите равнища на криптиране и това, че той постоянно получава обновяване, което пречи на засичането му и разбора за основаването на правилен декриптиращ инструмент, е това, че разпространителите му употребяват общоприети имейл домейни за връзка с жертвата (както показва разбор на една от офанзивите на CheckPoint). Следва препращане към Tor пространството за по-нататъшни указания. MBAM акцентират, че за някои от разновидностите, въпреки всичко има декриптори на страниците на No More Ransom (да се търси под името Shade).
.td_uid_41_5c835e8b9febd_rand.td-a-rec-img{text-align:left}.td_uid_41_5c835e8b9febd_rand.td-a-rec-img img{margin:0 auto 0 0}
„ Това, което отличава Troldesh от останалите рансъмуер разновидности е големия брой readme#.txt файлове, които рансъмуерът оставя на инфектираната система, както и имейла като метод за контакт с създателите на опасността. При останалото, той употребява типичен вектор за офанзива, който разчита на това да подлъже неинформираните жертви. Независимо от това, той беше прекомерно сполучлив, както в предишното, по този начин и в актуалната вълна от офанзиви “, предизвестяват от Malwarebytes.
.td_uid_43_5c835e8ba14cc_rand.td-a-rec-img{text-align:left}.td_uid_43_5c835e8ba14cc_rand.td-a-rec-img img{margin:0 auto 0 0}
Източник: kaldata.com
КОМЕНТАРИ