- Сообщения
- 14,876
- Решения
- 5
- Реакции
- 6,818
Авторы блокера-шифровальщика Cryptowall добавили к его облику пару штрихов, способных еще больше осложнить жизнь вирусным аналитикам и тем, кто пытается вызволить файлы без выкупа.
На прошлой неделе исследователи из Bleeping Computer обнаружили новый вариант Cryptowall, который шифрует не только файлы жертвы, но также их имена. «Это сильно снижает шансы на восстановление файлов, уж легче уплатить выкуп, — признал независимый исследователь Нейтан Скотт (Nathan Scott), проводивший анализ вместе с экспертами Bleeping Computer.
— При восстановлении данных в ходе экспертизы файлы появляются под странными именами, и сам пользователь не может понять, что это за файлы. Выяснить структуры, записанные в файлы, стало невозможно».
«Единственный способ вернуть данные — полная резервная копия; если резервных копий нет, придется платить выкуп», — констатирует эксперт. Операторы блокера также обновили сообщение с требованием выкупа, выводимое жертве. Они цинично поздравляют пользователя с вступлением в «обширное сообщество Cryptowall», поясняя, что данный проект был запущен якобы для повышения грамотности в сфере ИБ и для удостоверения эффективности антивирусных продуктов.
Более того, злоумышленники создали для своих жертв хэштэг #CryptowallProject, чтобы те могли обмениваться своими горестями в социальных сетях. Большое количество таких жалоб, по словам Скотта, на руку операторам зловреда, так как жертвы будут охотнее платить.
По рентабельности Cryptowall заметно опережает всех своих собратьев. Согласно недавнему отчету отраслевого союза Cyber Threat Alliance (CTA), появление версии Cryptowall 3.0 уже обошлось жертвам заражения в 325 млн.долл.
Пока неясно, является ли находка Bleeping Computer новой версией вымогателя (4.0), как полагают исследователи, или это просто технический релиз. Распространяется новый Cryptowall, как и его предшественники, через вложения в письма, замаскированные под документ Word (инвойс или резюме). На самом деле эти файлы содержат исполняемый JavaScript, который и производит загрузку целевого зловреда.
Новый вариант криптоблокера также надежно стирает все точки восстановления. «Иногда жертве вымогательства везет, ибо зловред не удаляет точки восстановления или терпит неудачу, и систему можно откатить до даты, предшествующей заражению, восстановив прежнее состояние, — поясняет Скотт.
— С версией 4.0 такой номер не проходит». Насколько известно, операторы Cryptowall практически всегда высылают ключ для расшифровки после уплаты выкупа и этим выгодно отличаются от многих своих конкурентов. «Они ведут свои дела как настоящие бизнесмены, и их модель работает четко, — говорит Скотт. — Они знают: если много обманывать, никто не захочет платить, посему эти злоумышленники взяли за правило возвращать файлы плательщикам».
ФБР недавно рекомендовало жертвам вымогательства платить выкуп, особенно в тех случаях, когда речь идет о заражении Cryptowall. Ущерб от деятельности этого зловреда федеральные агенты оценили гораздо либеральнее, чем CTA, — в 18 млн.долл.
На прошлой неделе исследователи из Bleeping Computer обнаружили новый вариант Cryptowall, который шифрует не только файлы жертвы, но также их имена. «Это сильно снижает шансы на восстановление файлов, уж легче уплатить выкуп, — признал независимый исследователь Нейтан Скотт (Nathan Scott), проводивший анализ вместе с экспертами Bleeping Computer.
— При восстановлении данных в ходе экспертизы файлы появляются под странными именами, и сам пользователь не может понять, что это за файлы. Выяснить структуры, записанные в файлы, стало невозможно».
«Единственный способ вернуть данные — полная резервная копия; если резервных копий нет, придется платить выкуп», — констатирует эксперт. Операторы блокера также обновили сообщение с требованием выкупа, выводимое жертве. Они цинично поздравляют пользователя с вступлением в «обширное сообщество Cryptowall», поясняя, что данный проект был запущен якобы для повышения грамотности в сфере ИБ и для удостоверения эффективности антивирусных продуктов.
Более того, злоумышленники создали для своих жертв хэштэг #CryptowallProject, чтобы те могли обмениваться своими горестями в социальных сетях. Большое количество таких жалоб, по словам Скотта, на руку операторам зловреда, так как жертвы будут охотнее платить.
По рентабельности Cryptowall заметно опережает всех своих собратьев. Согласно недавнему отчету отраслевого союза Cyber Threat Alliance (CTA), появление версии Cryptowall 3.0 уже обошлось жертвам заражения в 325 млн.долл.
Пока неясно, является ли находка Bleeping Computer новой версией вымогателя (4.0), как полагают исследователи, или это просто технический релиз. Распространяется новый Cryptowall, как и его предшественники, через вложения в письма, замаскированные под документ Word (инвойс или резюме). На самом деле эти файлы содержат исполняемый JavaScript, который и производит загрузку целевого зловреда.
Новый вариант криптоблокера также надежно стирает все точки восстановления. «Иногда жертве вымогательства везет, ибо зловред не удаляет точки восстановления или терпит неудачу, и систему можно откатить до даты, предшествующей заражению, восстановив прежнее состояние, — поясняет Скотт.
— С версией 4.0 такой номер не проходит». Насколько известно, операторы Cryptowall практически всегда высылают ключ для расшифровки после уплаты выкупа и этим выгодно отличаются от многих своих конкурентов. «Они ведут свои дела как настоящие бизнесмены, и их модель работает четко, — говорит Скотт. — Они знают: если много обманывать, никто не захочет платить, посему эти злоумышленники взяли за правило возвращать файлы плательщикам».
ФБР недавно рекомендовало жертвам вымогательства платить выкуп, особенно в тех случаях, когда речь идет о заражении Cryptowall. Ущерб от деятельности этого зловреда федеральные агенты оценили гораздо либеральнее, чем CTA, — в 18 млн.долл.