r的数字eports正在警告企业和消费者,基于臭名昭著的密码锁(又名TorrentLocker或Teerac)代码的新一轮勒索软件正在传播。
今天Cisco Talos.写了“Crypt0l0cker经历了漫长的演变,对手们正在定期更新和改进这个恶意软件。我们分析的样本中的几个指标指向了这个恶意软件的一个新的主要版本。我们已经看到2014年和2015年针对欧洲和世界其他地区的大型活动。似乎这些活动背后的行动者现在又回来了,再次发动大规模的垃圾邮件攻击。”
+更多关于网络世界有个足球雷竞技app:Cisco Talos:垃圾邮件达到2010年以来的最高水平+
Cryptolocker是一个高度复杂的勒索软件,它使用加密密钥对加密受害者的计算机文件,并要求赎金的加密密钥。2014年,美国联邦调查局(FBI)宣布,美国和外国执法官员已经查封了Cryptolocker的指挥和控制服务器,并与“Gameover Zeus”僵尸网络中断一起对该公司造成了重大打击。但专家表示,这样一个“成功的”勒索软件工具重新出现只是时间问题。
+更多关于网络世界有个足球雷竞技app:思科警告NetFlow设备漏洞+
塔洛斯的一些重要观察包括:
- 一个基于Nullsoft安装程序的可执行文件被用于试图危害受害者主机。敌人使用Nullsoft安装程序来执行一个恶意DLL,该DLL会启动勒索软件有效负载的解包过程。
- 在其他勒索软件活动中,我们经常看到只有支付过程受到Tor的保护,而不是整个感染链。如果SSL服务器不可达,Crypt0l0cker似乎正在使用Tor服务器作为备用。越来越多的恶意软件利用洋葱网络来隐藏他们的踪迹。显然,这使得在网络流量(Tor流量除外)中检测这些活动变得更加困难。这也需要更多的时间来识别恶意软件基础设施,最终使其瘫痪。
- 像往常一样,在感染过程完成后,勒索软件加密所有用户文件,并显示已知的用户消息。该恶意软件还带有完整的本地化。有效负载根据受害者的IP地址的地理位置以不同的语言显示消息
- 除了加密本地驱动器上的文件,Crypt0l0cker也扫描连接的外部驱动器,例如USB驱动器和共享网络资源的文件加密。
- Crypt0l0cker正在使用一个文件扩展名列表。具有这些扩展名的文件将被排除在文件加密过程之外。有趣的是,作者还排除了一些图像和文本格式,也许是为了防止恶意软件加密自己的文件,包括赎金消息和日志文件。
Talos写道:“高级恶意软件保护(AMP)非常适合防止这些威胁行动者使用的恶意软件的执行。(思科)水煤浆或WSAWeb扫描可以防止访问恶意网站,并检测用于这些攻击的恶意软件。电子邮件安全可以阻止由威胁演员发送的恶意电子邮件作为其广告系列的一部分。网络安全保护“诱导多能性”和NGFW具有最新的签名以检测威胁行动者的恶意网络活动。AMP威胁电网帮助识别恶意二进制文件,并在所有思科安全产品中构建保护。[思科的]伞阻止DNS解决与恶意活动相关的域。“