2.0 encarnação de Cryptowall está escondido em uma casca dura trabalhada pelos desenvolvedores paranóico com a comunidade de pesquisa de segurança, a análise técnica revela.
O ransomware amadureceu muito desde que surgiu no ano passado, a criptografia de arquivos das vítimas e exigindo dinheiro para o fornecimento de uma chave de decodificação. É design superior liderança para criminosos gerando um número estimado de US lucros 1000000 dólares em seis meses.
Engenheiros da Cisco Andrea Allievi e Earl Carter retirar as camadas da cebola Cryptowall 2,0 encontrado criadores tinham se esforçado para evitar a detecção e para assegurar a execução bem-sucedida em diferentes plataformas.
"Just a receber essas amostras complexas para executar em um sandbox pode ser um desafio, tornando a análise mais complicado e envolvidos", escreveu o par em uma análise conjunta .
"A conta-gotas utiliza vários exploits para obter acesso inicial e incorpora anti-vm e controlos anti-emulação para dificultar a identificação por meio de caixas de proteção.
"Um dos aspectos mais interessantes desta amostra de malware, no entanto, é a sua capacidade de executar código de 64 bits diretamente de sua conta-gotas 32 bit [e] é realmente capaz de mudar o contexto de execução do processador de 32 bits para 64 bits."
O código dispara sinais de comando e controle sobre Tor, em um esforço para ocultar os endereços IP.
Ele também usa muitas camadas de criptografia, que, através de um binário baixado, verificados para caixas de proteção em múltiplos níveis de execução, na esperança de evitar a execução em máquinas pesquisador de malware.
Execution também termina se uma função simples em si detectado em um ambiente de máquina virtual. Isto teve o resultado não intencional possível de salvar lojas virtualizados de Cryptowall.
A conta-gotas subsequente foi gerado, se não foram detectados quaisquer máquinas virtuais.
Empresas infectados pode notar uma corrida de tráfego para wtfismyip.com como cheques Cryptowall fora da rede nos últimos estágios da infecção.
Evitar sites ruins, educando e testar a capacidade dos usuários para detectar e-mails de phishing e sites, vai fazer muito para reduzir a chance de infecção.
"A quebra de qualquer etapa da cadeia de ataque vai conseguir impedir este ataque, portanto, bloqueando os e-mails de phishing iniciais, bloqueando conexões de rede com conteúdo malicioso conhecido, bem como parar a atividade processo malicioso são cruciais para combater ransomware e impedindo-a de prender seu refém de dados, "a par de pesquisadores escreveram.
Muitos autores de malware tinha ido para grandes comprimentos para evitar os olhos dos pesquisadores curiosos, levando a um jogo de gato-e-rato de detecção e evasão onde lições aprendidas foram construídos em iterações subsequentes do crime ware.
O esforço vxer foi feita como os lucros tendem a secar uma vez o malware foi revertida e os remédios encontrados.
Mas nem todo o esforço valeu a pena: pesquisadores FireEye final do ano passado detalhou como codificadores penais qualificados tinha feito atos cometidos erros épicos de enorme excesso de engenharia em sua tentativa de tecer malwares criativo. ®
Nenhum comentário:
Postar um comentário