|
新的直接存储器存取柜ransomware是增加大范围攻击.远程控制软件,灰鸽子下载
新版本修复已知的缺陷和采用新的利用kit-based分布模型
最近TeslaCrypt创造者称之为退出,但不幸的是,对于用户来说,有一个新的ransomware计划准备取而代之。
称为直接存储器存取柜,这种威胁首次出现在1月,但其加密实现的缺陷,很难认真对待它。研究人员没有问题开发前两个版本的文件恢复工具。
然而,固定所有问题和恶意软件作者最近研究人员认为,新发布的版本4,直接存储器存取柜已达到成熟,可能接下来用户广泛的攻击。
“最近观察到的变化表明,产品正准备大规模分布式,“伪安全研究人员在一篇博客文章中说。
以前的版本达到通过弱或被盗被感染的计算机远程桌面凭证。
新版本,然而,通过网络下载型分布式攻击依赖于利用工具,这意味着更大的计算机数量可能会受到影响。
另一个大的变化是,现在加密程序依赖于一个指挥和控制服务器为每个生成独特的公共和私人RSA密钥的感染。
恶意软件首先生成一个惟一的AES(高级加密标准)键为每个文件加密。那关键是与RSA公开密钥加密,附加到文件的开始。
为了解密文件的影响,用户需要相应的私人RSA密钥的攻击者的财产为了恢复的AES键为每个文件,然后使用这些密钥来解密内容。
以前直接存储器存取柜版本不使用一个指挥和控制服务器的RSA私钥是本地存储在电脑上可以通过逆向工程恢复,或相同的公私密钥对用于整个运动。这意味着如果有人支付私人RSA密钥,同样的关键将在多个电脑上工作,可以与其他的受害者。
已经修复了所有这些问题,采用一种基于服务器的模型,这是典型的大多数其他ransomware程序是如何工作的。一旦感染电脑,直接存储器存取柜现在将等待与服务器建立连接这电脑可以发送一个独特的ID和有一个独特的RSA公钥生成。
好消息,,现在,服务器不是托管在Tor匿名网络,因此它应该被安全产品很容易阻塞,防止恶意软件无法启动加密程序。
直接存储器存取柜也突出了它如何选择加密的文件。几乎所有的文件加密ransomware项目文件扩展名的列表,他们将目标。相反,直接存储器存取柜已扩展的列表,它不会碰,加密一切,并可能造成更大的伤害。
它还将加密文件在计算机网络共享上有写访问,即使这些股票没有被映射到本地驱动器。
一如既往,ransomware项目预防是关键。执行常规备份位置,只是暂时从电脑访问,比如一个USB硬盘驱动器备份期间唯一的连接操作,是非常重要的。 |
|