Video: CryptoLocker (Crilock) File Encrypting Ransomware [OBSOLETED] (November 2024)
Onderzoekers hebben een nieuwe variant van de CryptoLocker-ransomware ontdekt die mogelijk zelfs meer gebruikers kan infecteren dan de originele versie.
De criminelen achter CryptoLocker lijken de ransomware te hebben gewijzigd van een Trojan in een USB-verspreidende worm, schreven onderzoekers van Trend Micro onlangs op zijn Security Intelligence-blog. Als Trojan kon CryptoLocker zich niet verspreiden om gebruikerscomputers te infecteren. Het vertrouwde op gebruikers om een e-mailbijlage te openen of op een link in een e-mail te klikken om zichzelf uit te voeren en op de computer te installeren. Als worm kan CryptoLocker zichzelf echter repliceren en verspreiden via verwisselbare schijven.
In het geval u een opfriscursus nodig hebt, is CryptoLocker ransomware. Dit is een type malware dat bestanden op uw computer blokkeert en losgeld vereist om de bestanden te ontgrendelen. De bestanden zijn gecodeerd, dus als u de malware verwijdert, worden de bestanden niet vrijgegeven. De enige manier om de bestanden terug te krijgen, is om de criminelen te betalen, ongeacht het bedrag dat ze selecteren (recente aanvallen hebben eisen voor BitCoins gesteld) of gewoon de computer wissen en herstellen vanaf een back-up.
De nieuwe versie van de malware doet zich voor als een activator voor software zoals Adobe Photoshop en Microsoft Office op peer-to-peer (P2P) bestandsuitwisselingssites, aldus Trend Micro. Het uploaden van de malware naar P2P-sites stelt slechteriken in staat om systemen gemakkelijk te infecteren zonder last te hebben van spam-berichten, volgens de blogpost.
"De slechteriken achter deze nieuwe variant hoeven geen spam-e-mailcampagne uit te blazen om hun malware te verspreiden, " zei Graham Cluley, een beveiligingsonderzoeker.
Hoe een worm infecteert
Stel je een eenvoudig scenario voor. U leent een USB-schijf om een bestand van de ene naar de andere computer te verplaatsen of om iemand een kopie van het bestand te geven. Als dat station was geïnfecteerd met de CryptoLocker-worm, zou elke computer waarop het station was aangesloten, zijn geïnfecteerd. En als die computer is verbonden met een netwerk, kan het Cryptolocker-werk zoeken naar andere verbonden schijven.
"Het kan het voor CryptoLocker misschien gemakkelijker maken om pc's in uw hele organisatie te infecteren, " zei Cluley.
Er is echter een goed teken over deze nieuwe variant. De originele CryptoLocker-malware gebruikte het domeingeneratie-algoritme (DGA) om periodiek een groot aantal domeinnamen te genereren om verbinding te maken met de Command & Control-server (C&C). De nieuwe versie van CryptoLocker, daarentegen, maakt geen gebruik van DGA omdat de URL van de command-and-control-servers hard gecodeerd zijn in de ransomware, zei Trend Micro. Dit maakt het gemakkelijker om de gerelateerde kwaadaardige URL's te detecteren en te blokkeren.
Dat kan echter alleen maar betekenen dat de malware nog steeds wordt verfijnd en verbeterd, en latere versies van de worm kunnen de DGA-mogelijkheid hebben, waarschuwde Trend Micro. Zodra het DGA bevat, zou het moeilijker zijn om de ransomware te detecteren en te blokkeren.
Wat zal ik doen?
Trend Micro en Cluley hadden een paar aanbevelingen over wat te doen:
Gebruikers moeten vermijden P2P-sites te gebruiken om kopieën van software te krijgen en zich te houden aan officiële of gerenommeerde sites.
Gebruikers moeten ook uiterst voorzichtig zijn bij het aansluiten van USB-drives op hun computers. Als je er een hebt gevonden die rondslingert, sluit je deze niet aan om te zien wat erop staat.
"Zorg ervoor dat u veilige computerpraktijken volgt en voorzichtig bent met wat u op uw computers uitvoert, en vergeet niet uw antivirusupdate en uw verstand over u te houden, " zei Cluley.
