Cryptowall 4.0 шифрует не только файлы жертвы, но также их имена

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,170
Реакции
6,335
Баллы
1,098
Авторы блокера-шифровальщика Cryptowall добавили к его облику пару штрихов, способных еще больше осложнить жизнь вирусным аналитикам и тем, кто пытается вызволить файлы без выкупа.

На прошлой неделе исследователи из Bleeping Computer обнаружили новый вариант Cryptowall, который шифрует не только файлы жертвы, но также их имена. «Это сильно снижает шансы на восстановление файлов, уж легче уплатить выкуп, — признал независимый исследователь Нейтан Скотт (Nathan Scott), проводивший анализ вместе с экспертами Bleeping Computer.

— При восстановлении данных в ходе экспертизы файлы появляются под странными именами, и сам пользователь не может понять, что это за файлы. Выяснить структуры, записанные в файлы, стало невозможно».

«Единственный способ вернуть данные — полная резервная копия; если резервных копий нет, придется платить выкуп», — констатирует эксперт. Операторы блокера также обновили сообщение с требованием выкупа, выводимое жертве. Они цинично поздравляют пользователя с вступлением в «обширное сообщество Cryptowall», поясняя, что данный проект был запущен якобы для повышения грамотности в сфере ИБ и для удостоверения эффективности антивирусных продуктов.

Более того, злоумышленники создали для своих жертв хэштэг #CryptowallProject, чтобы те могли обмениваться своими горестями в социальных сетях. Большое количество таких жалоб, по словам Скотта, на руку операторам зловреда, так как жертвы будут охотнее платить.

Cryptowall.jpg


По рентабельности Cryptowall заметно опережает всех своих собратьев. Согласно недавнему отчету отраслевого союза Cyber Threat Alliance (CTA), появление версии Cryptowall 3.0 уже обошлось жертвам заражения в 325 млн.долл.

Пока неясно, является ли находка Bleeping Computer новой версией вымогателя (4.0), как полагают исследователи, или это просто технический релиз. Распространяется новый Cryptowall, как и его предшественники, через вложения в письма, замаскированные под документ Word (инвойс или резюме). На самом деле эти файлы содержат исполняемый JavaScript, который и производит загрузку целевого зловреда.

Новый вариант криптоблокера также надежно стирает все точки восстановления. «Иногда жертве вымогательства везет, ибо зловред не удаляет точки восстановления или терпит неудачу, и систему можно откатить до даты, предшествующей заражению, восстановив прежнее состояние, — поясняет Скотт.

— С версией 4.0 такой номер не проходит». Насколько известно, операторы Cryptowall практически всегда высылают ключ для расшифровки после уплаты выкупа и этим выгодно отличаются от многих своих конкурентов. «Они ведут свои дела как настоящие бизнесмены, и их модель работает четко, — говорит Скотт. — Они знают: если много обманывать, никто не захочет платить, посему эти злоумышленники взяли за правило возвращать файлы плательщикам».

ФБР недавно рекомендовало жертвам вымогательства платить выкуп, особенно в тех случаях, когда речь идет о заражении Cryptowall. Ущерб от деятельности этого зловреда федеральные агенты оценили гораздо либеральнее, чем CTA, — в 18 млн.долл.

 

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Я так полагаю начало "гонки вооружений" пошло?
Вендоры начинают предлагать хранить копии у себя,вирмейкеры начинают следом мутить что то новое...в эти моменты начинаешь думать что старый добрый пылесос без сети как сейф оказывается надежнее современных технологий...и старых разводов...
 
Сверху Снизу