r的数量eports警告企业和消费者,新一轮的ransomware基于臭名昭著的Cryptolocker(又名TorrentLocker或Teerac)代码使轮。
今天思科塔洛斯写了:“Crypt0l0cker经历了漫长的进化,对手是定期更新和提高恶意软件。几个指标内的样品我们有分析指出,一个新的主要版本的恶意软件。我们已经看到大型活动针对欧洲和世界其他地区在2014年和2015年。它似乎是这些活动背后的演员现在回来再推出大规模垃圾邮件攻击。”
+更多网络世界:足球竞猜app软件思科塔洛斯:垃圾邮件自2010年以来的最低水平+
Cryptolocker是一个高度复杂的ransomware加密密钥对用于加密的计算机文件加密密钥的受害者和要求赎金。花了2014年,联邦调查局宣布的重大打击,会同败阵宙斯僵尸网络中断,美国和外国执法官员已经抓住Cryptolocker指挥和控制服务器。但它只是一个时间问题,这种“成功”ransomware工具重新专家说。
+更多网络世界:足球竞猜app软件思科NetFlow设备漏洞+警告说
从塔洛斯的一些关键的观察包括:
- 基于Nullsoft安装程序可执行文件被使用为了妥协受害者主机。对手使用Nullsoft安装程序执行一个恶意的DLL的拆包过程开始ransomware负载。
- 在其他ransomware活动我们经常会看到只有付款过程保护Tor,不是整个感染链。Crypt0l0cker似乎使用Tor服务器作为后备,如果SSL服务器不可以。越来越多的恶意软件利用Tor隐藏自己的踪迹。显然,这使得它难以检测这些活动在网络流量(Tor流量)。它还需要更多的时间来识别恶意软件基础设施最终取下来。
- 像往常一样,在感染过程完成后,ransomware加密所有用户文件并显示著名的用户信息。恶意软件还带有完整的本地化。载荷在不同的语言中显示消息取决于受害者的地理位置基于他或她的IP地址
- 除了本地驱动器上的加密文件,Crypt0l0cker也扫描连接外部驱动器。USB驱动器和共享网络资源文件加密。
- Crypt0l0cker使用文件扩展名的列表。这些扩展的文件被排除在文件加密过程。有趣的是,作者还排除一些图像和文本格式,也许是为了防止恶意软件加密的文件包括赎金的消息和日志文件。
塔洛斯写道:“先进的恶意软件保护(AMP)是适合防止恶意软件的执行这些威胁使用的演员。(思科)水煤浆或WSA网络扫描阻止访问恶意网站和检测恶意软件用于这些攻击。电子邮件安全可以阻止恶意发送的电子邮件威胁演员作为他们行动的一部分。网络的安全保护“诱导多能性”和NGFW有最新的演员签名检测恶意网络活动的威胁。AMP威胁电网帮助识别恶意二进制文件和建立保护所有思科安全产品。(思科的伞防止DNS解析的域名恶意活动。”