A legelterjedtebb zsarolóvírusok legújabb verziói

forrás: Prím Online, 2016. december 2. 07:36

A Check Point Software Technologies Ltd. blogján megjelent cikk szerint a Cerber és a Locky, a két jelenleg legelterjedtebb zsarolóvírus egyszerre engedte szabadjára új verzióját. Az új zsarolóvírus-verziók apró, de nagyon érdekes változásokkal bírnak, amelyek hatással lehetnek a velük szemben eddig használt módszerekre.

A Cerber 5.0 a régiek mellett, új IP-kat is használ

A Cerbert működtetők, hasonlóan a zsarolóvírusok világának más szereplőihez, napi szinten bizonyítják innovativitásukat. November 23-án a Cerber egy új verziója jelent meg, a 4.1.6. számú, alig 24 órával később pedig már egy újabb, az 5.0-s verzió is megjelent. A jelen cikk ez utóbbit írja le.

 

A mostani Cerber verzióban az egyik legjelentősebb változás az új IP címtartományok használata a ellenőrző-irányító (C&C) kommunikáció során. A Cerber használ egy, a már korábbi verziójában (4.1.6) is használt IP címtartományok mellett, új címtartományokat is használ.

 

Az új IP címtartományok:

194.165.17.0/24

194.165.18.0/24

194.165.19.0/24

15.93.12.0/27

63.55.11.0/27

A korábbi, de most is használt IP címtartományok:

194.165.16.0/24

 

A korábbi verziókban, a Cerber a fentiekben felsorolt körökbe tartozó valamennyi IP-címre küldött üzeneteket UDP-n keresztül. A kommunikációt indító üzenet: “hi(0-9){4}b(0-9){3}”.

 

 

 

A Cerbert jelenleg spam e-mail kampányokon és u.n. exploit kiteken keresztül terjesztik, elsősorban a Rig-V Exploit Kiten keresztül. A titkosított file-kiterjesztéseket véletlenszerűen generálják, épp mint a Cerber legutóbbi verziói esetében, 4 véletlenszerűen kiválasztott alfabetikus betű használatával. A Cerber ezen verziója továbbra is az adatbázisokra és az azokhoz kapcsolódó file-okra fókuszál, és titkosítja a különböző típusú adatbázis file-okat. Ráadásul, a Cerber egy desktop üzenetben informálja a felhasználókat, hogy melyik zsarolóvírus titkosította őket. 

 

 

Mindezeken túl, a titkosítási utasítások megjelennek egy inaktív .hta file-ban, különböző nyelveken megadott információkkal egyetemben.

 

Locky

Az állandóan változó Locky zsarolóvírus is a napokban adott ki egy újabb variánst, mely új behatolási technikákat és testre szabott zsaroló tarifát alkalmaz. A Locky-ról tudjuk, hogy JavaScript alapú letöltőprogram használatával dll file-ként töltődik le. Annak ellenére, hogy az új verzió is ugyanígy viselkedik, a JavaScript letöltőprogram rejtett .TDB file-t húz be, mely PE file-á alakul át. A Locky valószínűleg olyan biztonsági termékeket szeretne kikerülni, melyek szignálják a már ismert fertőzési láncokat.

 

 

Hasonlóan valamennyi korábbi verzióhoz, Locky most is lecseréli a titkosított file-kiterjesztéseket; ezúttal arra, hogy .zzzzz. 

 

Egy másik, említésre érdemes viselkedés a kizsarolt fizetés variálása. Azt tapasztaltuk, hogy az alapértelmezett összeg 3 Bitcoin; amikor viszont engedi a rosszindulatú programot kommunikálni az ellenőrző-irányító (C&C) rendszerrel, a fizetendő összeg változhat az áldozat jellemzőinek függvényében, különösen a titkosított file-ok száma alapján. A Check Point laborjában kért legalacsonyabb összeg a 0,5 Bitcoin volt.

 

 

Összefoglalva, a Cerber és a Locky létrehozói folyamatosan alkalmazkodnak a biztonsági szolgáltatók ellenlépéseihez. A Cerber 5.0 és a Locky .zzzzz a zsarolóvírusok legújabb, de biztosan nem az utolsó verziói.

A biztonsági szolgáltatóknak továbbra is, mint eddig mindig, egy lépéssel előttük kell haladni.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Az ázsiai autóipar lehagyta digitalizációban Európát

2024. december 21. 10:22

Új platform köti össze a vállalkozókat és partnereiket

2024. december 16. 13:25

CES 2025 előzetes: Elon Musk Amerikája, avagy a világ Musk-ja

2024. december 9. 16:46

Újabb részvételi rekordot döntött az e-Hód

2024. december 9. 11:32