Бесплатно Экспресс-аудит сайта:

10.02.2015

Cisco сообщила о новой модификации вируса-вымогателя Cryptowall 3.0

Аналитики из компании Cisco Systems проанализировали новую версию вируса-вымогателя Cryptowall 3.0. Вирус распространяется в zip архиве, который содержит в себе несколько дропперов. Сами по себе файлы абсолютно идентичны за исключением алгоритмов шифрования, которые используются для сокрытия дроппера и компиляции бинарника Cryptowall 3.0.

Как и в версии Cryptowall 2.0 (которую исследователи анализировали ранее), дроппер трижды шифруется при помощи специального алгоритма, но на этом все сходства двух версий заканчиваются. В новом варианте вируса были удалены следующие возможности:

переключение между 32 и 64-битными операциями содержание множественных экплоитов в дроппере проверка на наличие антивируса для предотвращения запуска в виртуальной среде

Подробный анализ последнего образца Cryptowall 3.0 показал наличие большого количества бесполезных вызовов API и неиспользуемого кода. Это свидетельствует об упрощении самого вируса. Отсутствие эксплоитов внутри дроппера говорит о том, что авторы вируса делают акцент на использование наборов эксплоитов в качестве вектора атаки. Сам по себе дроппер без эксплоитов, способных повысить привилегии на системе, не может использоваться для отключения и обхода множественных средств защиты.

Код инициализации остался неизменным по сравнению с предыдущими версиями вредоноса. По прежнему вирус внедряется в процесс “explorer.exe” и запускается на системе стандартными методами (папка “Автозагрузка” и ключи реестра “Run” / “RunOnce”). После отключения всех методов защиты вредоносный код внедряется в процесс “svchost.exe”.

Из анализа следует, что большинство возможностей предыдущей версии Cryptowall отсутствуют в последнем образце вредоноса. Новая версия, однако, обзавелась возможностью использовать I2P сети. Вредоносное ПО остается незамеченным в сети благодаря использованию анонимных сетей TOR и I2P для коммуникации с C&C серверами.

Выявление и удаление вируса требует многоуровневого подхода к обеспечению безопасности. Нарушение любого этапа атаки успешно может ее предотвратить. Блокировка первоначальных фишинг-писем, сетевых соединений с вредоносным ПО, а также остановка вредоносных процессов играют важную роль в борьбе с вирусом.