Videó: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (November 2024)
A kutatók felfedezték a CryptoLocker ransomware új változatát, amely potenciálisan még több felhasználót képes megfertőzni, mint az eredeti verzió.
A CryptoLocker mögött álló bűnözők úgy tűnik, hogy a trójai szoftvert USB-elterjesztő féreggé alakították át - írta a Trend Micro kutatói a közelmúltban a biztonsági intelligencia blogjában. Trójaiként a CryptoLocker önmagában nem terjedt el a felhasználói számítógépek megfertőzésére. A felhasználókra támaszkodott egy e-mail melléklet megnyitásához vagy az e-mailben található linkre kattintva, hogy végrehajthassa és telepítse a számítógépet. Féregként azonban a CryptoLocker képes replikálni magát, és eltávolítható meghajtón keresztül terjedhet.
Amennyiben frissítőre van szüksége, a CryptoLocker ransomware. Ez egy olyan rosszindulatú program, amely lezárja a fájlokat a számítógépen, és váltságdíjat igényel a fájlok feloldásához. A fájlok titkosítva vannak, így a rosszindulatú programok eltávolítása nem engedi fel a fájlokat. A fájlok visszaszerzésének egyetlen módja az, hogy a bűnözőknek bármilyen összeget megfizessen (a legutóbbi támadások BitCoins-igényeket támasztottak alá), vagy csak törölje le a számítógépet, és állítsa vissza a biztonsági másolatból.
A rosszindulatú programok új verziója úgy működik, mint az Adobe Photoshop és a Microsoft Office peer-to-peer (P2P) fájlmegosztó oldalakon található szoftverek aktiválója - mondta a Trend Micro. A rosszindulatú programok P2P-oldalakra történő feltöltése lehetővé teszi a rossz fiúk számára, hogy könnyen megfertőzzék a rendszereket anélkül, hogy zavarnák a spam üzeneteket - áll a blogbejegyzés.
"Az új változat mögött álló rossz fiúknak nem kell spam e-mail kampányt robbantaniuk a rosszindulatú szoftverek terjesztése érdekében" - mondta Graham Cluley, a biztonsági kutató.
Hogyan fertőz egy féreg
Képzeljünk el egy egyszerű forgatókönyvet. Kölcsönad egy USB meghajtót, hogy fájlokat vihessen át egyik számítógépről a másikra, vagy másolatot nyújtson valakinek. Ha a meghajtót megfertőzte a CryptoLocker féreg, akkor az összes számítógép, amelyhez a meghajtó csatlakozik, megfertőződik. És ha ez a számítógép hálózathoz van csatlakoztatva, a Cryptolocker munka más csatlakoztatott meghajtókat is megkereshet.
"Lehet, hogy a CryptoLocker megkönnyíti a PC-k megfertőzését a szervezeten belül" - mondta Cluley.
Ennek az új változatnak azonban van egy jó jele. Az eredeti CryptoLocker rosszindulatú program a tartománygenerációs algoritmust (DGA) használta, hogy időszakonként nagyszámú tartománynevet generáljon, hogy csatlakozzon a parancs-irányító (C&C) szerverhez. A CryptoLocker új verziója viszont nem használja a DGA-t, mivel a parancs- és vezérlőkiszolgálók URL-jeit keményen kódolják a ransomware - mondta a Trend Micro. Ez megkönnyíti a kapcsolódó rosszindulatú URL-ek felismerését és blokkolását.
Ez azonban csak azt jelentheti, hogy a rosszindulatú szoftverek fejlesztése és fejlesztése még folyamatban van, és a féreg későbbi verziói rendelkezhetnek DGA képességgel - figyelmeztette a Trend Micro. Ha belefoglalja a DGA-t, akkor nehezebb lesz felismerni és blokkolni a ransomware szoftvert.
Mit tegyek?
A Trend Micro és Cluley néhány javaslatot tett a teendőkre vonatkozóan:
A felhasználóknak kerülniük kell a P2P webhelyek használatát a szoftver másolatainak beszerzéséhez, valamint a hivatalos vagy jó hírű webhelyekhez való ragaszkodáshoz.
A felhasználóknak rendkívül óvatosnak kell lenniük az USB-meghajtók számítógéphez csatlakoztatásakor is. Ha talált egy fekszik körül, ne dugja be a hálózati csatlakozóba, hogy megnézze, mi lehet rajta.
"Győződjön meg róla, hogy betartja a biztonságos számítástechnikai gyakorlatokat, és ügyeljen a számítógépén futtatott műveletekre, és ne felejtse el frissíteni az antivírus-frissítést és az ön elméjével kapcsolatos ismereteit" - mondta Cluley.
