Peter Holmes
0 
3234
985
Cryptolocker może być martwy i zakopany CryptoLocker Is Dead: oto jak możesz odzyskać swoje pliki! CryptoLocker Is Dead: oto jak możesz odzyskać swoje pliki! , ale jest nowy szkodliwy program, który chce zdobyć koronę Ransomware. Nazywa się TorrentLocker i jest pozytywnie zły.
Mówi się, że TorrentLocker pożycza funkcje zarówno z niesławnego oprogramowania ransomware CryptoLocker, jak i CryptoWall. Pomimo tego, że są pochodną tych szkodliwych programów, badacze bezpieczeństwa, którzy je odkryli i przeanalizowali - partnerzy iSIGHT - nazywają to zupełnie nowym szczepem.
Partnerzy iSIGHT to szanowana firma zajmująca się badaniami bezpieczeństwa z siedzibą w Dallas w Teksasie, posiadająca biura i pracowników w 16 krajach na całym świecie.
Konsumenci dotknięci przez TorrentLocker znajdą swoje pliki zaszyfrowane silnym, prawie nie do złamania szyfrowaniem, i będą mogli odzyskać swoje pliki tylko płacąc okup wymieniony w dolarach australijskich.
Ciekawe, co sprawia, że TorrentLocker jest tak szczególnie zły? Czytaj dalej, aby uzyskać więcej.
Znajome zagrożenie
Szczególnie fascynujące w TorrentLocker jest sposób, w jaki zapożycza swoją nazwę i estetykę od CryptoLocker i CryptoWall, mimo że jest zupełnie innym zwierzęciem. Po zainfekowaniu szkodliwe oprogramowanie zidentyfikuje się jako „CryptoLocker” (które kiedyś opisałem jako „najprzyjemniejsze złośliwe oprogramowanie” CryptoLocker to najbardziej paskudne złośliwe oprogramowanie w historii i oto, co możesz zrobić CryptoLocker to najbardziej paskudne złośliwe oprogramowanie w historii i oto, co możesz zrobić CryptoLocker to rodzaj złośliwego oprogramowania, które czyni komputer całkowicie bezużytecznym przez szyfrowanie wszystkich twoich plików. Następnie wymaga zapłaty pieniężnej przed zwróceniem dostępu do twojego komputera.) i zawiera krótkie pytania i odpowiedzi, które najwyraźniej zostały w całości zaszeregowane przez CryptoWall.
Etymologia TorrentLocker pochodzi z modyfikacji dokonanej w rejestrze systemu Windows Co to jest rejestr systemu Windows i jak go edytować? Co to jest rejestr systemu Windows i jak go edytować? Jeśli musisz edytować rejestr systemu Windows, wprowadzenie kilku szybkich zmian jest łatwe. Nauczmy się, jak pracować z rejestrem. pod „HKCU \ Software \ Bit Torrent Application \”. Jednak nie ma prawdziwych dowodów na to, że TorrentLocker infekuje za pośrednictwem protokołów i sieci udostępniania plików. Większość instalacji wirusa pozornie pochodzi od osób otwierających załączniki ze spamu.
Podobnie jak CryptoLocker, TorrentWall wymaga okupu Don't Fall Foul of the Scammers: Przewodnik po ransomware i innych zagrożeniach Don't Fall Foul of the Scammers: przewodnik po ransomware i innych zagrożeniach. Aby użytkownicy mogli odzyskać swoje pliki, będą musieli wypłacić 500 USD AUD (464 USD w momencie pisania). I podobnie jak CryptoLocker, użytkownicy muszą płacić okup w Bitcoin. TorrentLocker sugeruje szereg wymian Bitcoinów BitCoin - Kupuj, sprzedawaj i handluj za pomocą anonimowej waluty peer-to-peer BitCoin - Kupuj, sprzedawaj i handluj za pomocą anonimowej waluty peer-to-peer Wcześniej w tym miesiącu dwóch wybitnych polityków amerykańskich napisało do prokuratora generalnego USA Erica Właściciel do wyrażenia obaw o powstanie nowej waluty online - BitCoin. Anonimowa waluta peer-to-peer stała się bardzo popularna ... z siedzibą w Australii. To, w połączeniu z wybraną walutą okupu, sugeruje, że ten szkodliwy program jest skierowany do australijskich użytkowników Internetu.
Szkodliwe oprogramowanie skierowane do określonego kraju nie jest szczególnie nowe. Stuxnet był ukierunkowany na systemy SCADA w Iranie, podczas gdy inne oprogramowanie ransomware używało nazw i logo Brytyjskiej Agencji Poważnej Przestępczości Zorganizowanej (SOCA), a także Federalnego Biura Śledczego.
Co nowego i jak to działa?
TorrentLocker wygląda jak Cryptolocker. „Kwakuje” jak Cryptolocker. Ale to nie CryptoLocker. Rzeczywiście, jest on bardzo różny na poziomie kodu i powinien być traktowany jako całkowicie unikalny szczep złośliwego oprogramowania, a nie jako rebranding Cryptolocker.
Po uruchomieniu pliku wykonywalnego TorrentLocker wprowadza on modyfikację do pliku explorer.exe. Zawiera większość funkcji TorrentLocker, w tym kod używany do komunikacji z serwerem dowodzenia i kontroli, a także do szyfrowania plików w systemie.
Szkodliwe oprogramowanie duplikuje się w folderze „% WINDOWS% /% WOW64%”. Ta kopia jest losowo nazywana, co może utrudnić działanie programów antywirusowych działających w tym czasie w systemie. Wykonuje również wiele instalacji jednocześnie, potencjalnie w celu zaciemnienia swojego zachowania.
Kolejna kopia złośliwego oprogramowania jest również umieszczana w rejestrze systemu Windows, oprócz tworzonego klucza autorun. Jak można się spodziewać, powoduje to uruchomienie złośliwego oprogramowania podczas uruchamiania.
Aby złośliwe oprogramowanie zaczęło szyfrować pliki, musi najpierw móc komunikować się z serwerem dowodzenia i kontroli (C&C). Próbuje nawiązać połączenie z adresem IP zakodowanym na stałe w złośliwym oprogramowaniu, przed którym następnie uwierzytelnia się. Jeśli uwierzytelnienie się powiedzie, złośliwe oprogramowanie zacznie szyfrować pliki. Po zakończeniu zadania poinformuje użytkownika.
Użytkownicy mogą sprawdzić, czy odszyfrowanie jest możliwe, przywracając jeden wybrany plik za darmo. W przeciwieństwie do CryptoLocker ofiary nie muszą płacić w określonym czasie, aby klucze do odszyfrowywania nie zostały usunięte. Jednak koszt odszyfrowania podwaja się do 1000 USD po upływie określonego czasu.
Co ciekawe, oprogramowanie ransomware w rzeczywistości nie opisuje płacenia okupu w takich kategoriach. Zamiast tego ofiary „kupują” oprogramowanie niezbędne do odszyfrowania ich plików. Strony z okupem są napisane surowym, zepsutym angielskim, co sugeruje, że osoba (lub osoby) stojące za TorrentWall nie są rodzimymi użytkownikami języka angielskiego.
Na stronie z okupem znajduje się także formularz umożliwiający skontaktowanie się z atakującym, a także wykaz Bitcoin, Dogecoin Dogecoin: Jak mem stał się 3. największą cyfrową monetą Dogecoin: jak mem stał się 3. największą cyfrową monetą i litecoin stracił na gorączce bitcoinów ? Weź udział w gorączce srebra Litecoin zamiast tego przegapiłeś gorączkę złota Bitcoin? Zamiast tego weź udział w gorączce srebra Litecoin Jeśli przegapiłeś szał wydobycia Bitcoinów i nadal chcesz wybrać wirtualną walutę, masz szczęście! W 2011 roku Litecoin stał się ważnym graczem w świecie elektronicznych… adresów, w których wdzięczne ofiary mogą przekazać darowiznę. Jest to dobrowolne, chociaż dlaczego ktoś dałby prezent komuś, kto wyłudził od ciebie sporą ilość gotówki, jest nieco poza moim zrozumieniem.
Co mogę zrobić w przypadku zarażenia?
To trochę trudne. W tej chwili nie ma innej możliwości odzyskania plików poza zapłaceniem okupu. Jednak, jak widzieliśmy w CryptoLocker CryptoLocker Is Dead: Oto jak możesz odzyskać swoje pliki! CryptoLocker Is Dead: oto jak możesz odzyskać swoje pliki! , ludzie mogą odzyskać swoje pliki po przejęciu serwerów Command and Control i odzyskaniu listy kluczy deszyfrujących.
Tymczasem upewnij się, że masz kopię zapasową plików, które nie są trwale podłączone do komputera przez USB lub udział sieciowy. Ponadto zainwestuj w solidny program antywirusowy (nie w Microsoft Security Essentials Dlaczego warto zastąpić Microsoft Security Essentials odpowiednim antywirusem Dlaczego warto zastąpić Microsoft Security Essentials odpowiednim antywirusem) i unikać otwierania załączników z niechcianych lub podejrzanych wiadomości e-mail.
W przypadku zarażenia zaleca się zakup taniego zewnętrznego dysku twardego (lub wystarczająco pojemnego napędu flash USB) i skopiowanie zaszyfrowanych plików. Daje to możliwość odzyskania plików w późniejszym terminie i bez płacenia okupu. Będziesz wtedy zachęcany do ponownej instalacji systemu Windows (lub może dać Linuksowi - znacznie bezpieczniejszy system operacyjny. Systemy operacyjne Linux dla Paranoid: jakie są najbezpieczniejsze opcje? Systemy operacyjne Linux dla Paranoid: jakie są najbezpieczniejsze opcje? Przełączanie na Linuksa zapewnia wiele korzyści dla użytkowników. Od bardziej stabilnego systemu do szerokiego wyboru oprogramowania open source, jesteś zwycięzcą. I to nie kosztuje ani grosza! - próba), aby usunąć szkodliwe oprogramowanie na dobre.
Kuszenie jest płacić okup, chociaż należy pamiętać, że dopiero wtedy sprawi, że tego rodzaju oprogramowanie ransomware będzie opłacalne dla atakującego.
Zostałeś trafiony?
Zgubiłeś wszystkie swoje pliki? Czy musiałeś zapłacić okup? Znasz kogoś, kto ma? Chciałbym usłyszeć twoją historię. Pole komentarzy znajduje się poniżej.