Criptografia ransomware - um tipo de malware que criptografa os dados do usuário e, então, pede resgate para a descodificação - está agora a ser implementado de uma maneira nova, de acordo com pesquisa da Kaspersky Lab. Kaspersky Lab chama o malware o ransomware "Cebola", pois utiliza a rede anônima Tor (o Onion Router) para esconder sua natureza maliciosos e para torná-lo difícil de acompanhar os atores por trás dessa campanha de malware em curso.
As melhorias técnicas para o malware tornaram uma ameaça verdadeiramente perigoso como um dos codificadores mais sofisticados hoje.
O malware Onion é o sucessor outros encryptors notórios: CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA e GpCode. É uma nova geração de criptografia ransomware que usa um mecanismo de contagem regressiva para assustar as vítimas a pagar por descriptografia em Bitcoins. Os cibercriminosos afirmam que existe um rigoroso prazo de 72 horas para pagar, ou todos os arquivos serão perdidos para sempre.
Para transferir os dados secretos e informações de pagamento, o Onion se comunica com servidores de comando e controle localizados em algum lugar dentro da rede anônima. Anteriormente, os pesquisadores da Kaspersky Lab já viu esse tipo de comunicação e arquitetura, mas ele só foi usado por algumas famílias de malware bancário como ZeuS 64 bits reforçada com Tor.
"Agora parece que Tor se tornou um meio comprovado de comunicação e está sendo utilizada por outros tipos de malware. O malware Cebola apresenta melhorias técnicas sobre casos anteriormente visto que as funções Tor foram utilizados em campanhas maliciosas. Escondendo os servidores de comando e controle em uma rede Tor anônimo complica a busca para os cibercriminosos, eo uso de um esquema de criptografia não ortodoxa torna arquivo descriptografia impossível, mesmo se o tráfego é interceptada entre o cavalo de Tróia eo servidor. Tudo isso faz com que seja uma ameaça muito perigosa e um dos codificadores mais avançados tecnologicamente lá fora ", disse Fedor Sinitsyn, Analista Sênior de Malware da Kaspersky Lab.
Abordagem de camada tripla à infecção
Para o malware cebola para chegar a um dispositivo, ele primeiro passa através da botnet Andromeda (Backdoor.Win32.Androm). O bot em seguida, recebe um comando para baixar e executar um outro pedaço de malware da família Joleee no dispositivo infectado. O último malwares em seguida, transfere o malware Onion para o dispositivo. Esta é apenas uma das possíveis formas que o Kaspersky Lab, até agora observados de distribuir o malware.
distribuição geográfica
Mais tentativas de infecções foram registrados na CEI, enquanto os casos individuais foram detectados na Alemanha, Bulgária, Israel, Emirados Árabes Unidos e Líbia.
Os mais recentes amostras de malware suportam uma interface em língua russa. Este fato e uma série de cordas no interior do corpo do Trojan sugerem que os criadores de malware falar russo.
Recomendações para ficar seguro
Fazer backup de arquivos importantes
A melhor maneira de garantir a segurança dos dados críticos é um agendamento de backup consistente. Backup deve ser realizada regularmente e, além disso, as cópias precisam ser criados em um dispositivo de armazenamento que é acessível somente durante este processo (por exemplo, um dispositivo de armazenamento removível que desliga imediatamente após o backup). O não cumprimento destas recomendações irá resultar em arquivos de backup a ser atacados e criptografados pelo ransomware, da mesma forma que as versões de arquivo originais.
O software antivírus
Uma solução de segurança deve ser ligado em todos os momentos e todos os seus componentes devem ser ativo. Bancos de dados da solução também deve ser atualizado.
Fonte: Kaspersky