Открит е нов вариант на CryptoMix Ransomware, който добавя разширение .CLOP или .CIOP към криптираните файлове. Особено интересно е, че този вариант на криптиране показва, че нападателите се насочват цели мрежи, а не към отделни компютри.
Този вариант е открит от MalwareHunterTeam, който е забелязал, че разработчиците превключват между различни имейл адреси и леки вариации в разширението.
Вариантът на Clop CryptoMix Ransomware
Този вариант на рансъмуера в се разпространява чрез изпълними файлове, които са кодирани с цифров подпис. Това прави изпълнимия файл по-легитимен и може да помогне за заобикаляне на 99% от софтуерите за сигурност.
В анализа на изследователя по сигурността Виталий Кремез, когато стартира този вариант, първо ще спре многобройните услуги и процеси на Windows, за да деактивира антивирусния софтуер и да затвори всички файлове, така че да са готови за криптиране. Примери за процеси, които се изключват, включват Microsoft Exchange, Microsoft SQL Server, MySQL, BackupExec и други.
Друга забележка, маркирана от Джон Дибоскис в този вариант е, че тя ще създаде команден файл с име clearnetworkdns_11-22-33.bat, който ще бъде изпълнен скоро след стартирането на рансъмуера. Този команден файл ще деактивира automatic startup repair на Windows, ще премахне копията в сянка, след което ще ги преоразмерява, за да изчисти копията на „сираците“.
Рансъмуерът ще започне да криптира файловете на жертвите. При шифроване на файловете ще добави разширение .Clop или .CIop към името на криптирания файл. Например, тестов файл, шифрован от този вариант, има криптирано име на тест.jpg.COP.
Този вариант също ще създаде бележка за откуп, наречена CIopReadMe.txt, която сега показва, че те са насочени към цялата мрежа, а не към отделен компютър. Дали това е вярно или не, не е известно в момента, тъй като самият рансъмуер няма възможност да се саморазпространява, но може да се извърши ръчно, ако нападателите хакнат Remote Desktop Services.
Тази бележка за откуп съдържа също имейлите unlock@eqaltech.su, unlock@royalmail.su и kensgilbomet@protonmail.com, които могат да се използват за връзка с нападателите за платени инструкции. За съжаление в този момент рансъмуерът не може да бъде декриптиран безплатно. Единственото, което можете да направите е да се предпазите с AD 360 на Panda Security, който чрез мониториране на процесите предпазва на 100% от криптовируси.
Как да се предпазите от Ransomware
За да се предпазите от рансъмуер, е важно да използвате добри компютърни навици и софтуер за сигурност. Най-важната стъпка е винаги да имате надежден и тестван архив на вашите данни, който може да бъде възстановен в случай на извънредна ситуация, например атака на рансъмуер.
Също така трябва да се уверите, че нямате компютри, работещи с Remote Desktop Services, свързани директно с интернет. Вместо това поставете компютри, работещи с Remote Desktop зад VPN, така че да са достъпни само за тези, които имат VPN акаунти в мрежата ви.
Важно е и добро софтуерно решение за сигурност, което включва поведенчески открития за борба с рансъмуер, а не само използване на сигнатура или евристика. Например, Adaptive Defense, Adaptive Defense 360 на Panda съдържат методи за разпознаване на поведението, мониториране и спиране на всички непознати процеси, изпълнени на компютъра.
И накрая, но не на последно място, уверете се, че практикувате следните навици за сигурност, които в много случаи са най-важните стъпки:
Архивиране, архивиране, архивиране!
Не отваряйте прикачени файлове, ако не знаете кой ги е изпратил.
Не отваряйте прикачени файлове, докато не потвърдите, че лицето ви ги е изпратило,
Сканирайте прикачените файлове с антивирусна програма.
Не свързвайте услугите за отдалечен работен плот директно към интернет. Вместо това се уверете, че те могат да бъдат достъпни само като влезете в VPN.
Уверете се, че всички актуализации на Windows са инсталирани веднага щом се появят! Също така се уверете, че актуализирате всички програми, особено Java, Flash и Adobe Reader. По-старите програми съдържат уязвимости в сигурността, които обикновено се използват от дистрибутори на зловреден софтуер. Затова е важно да ги поддържате актуализирани.
Уверете се, че използвате някакъв софтуер за сигурност, инсталиран, който използва поведенчески открития или технология на белия списък. Бялата листа може да бъде болка за тренировка, но ако желаете да се сдобиете с нея, може да имате най-големи печалби.
Използвайте твърди пароли и никога не използвайте отново една и съща парола на няколко сайта.
Винаги правете BACKUP!
За пълно ръководство за защита на рансъмуер посетете някой от нашите офиси, където специалисти по кибер сигурност ще ви дадат точни съвети.
Източник: По материали от Интернет