Video: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (Listopad 2024)
Vědci objevili novou variantu ransomwaru CryptoLocker, která by mohla infikovat ještě více uživatelů než původní verze.
Zdá se, že zločinci za CryptoLocker modifikovali ransomware z trojského koně na červ, který šíří USB, vědci z Trend Micro nedávno napsali na svém blogu Security Intelligence. Jako Trojan se CryptoLocker nemohl sám rozšířit, aby infikoval uživatelské počítače. Spolehlo se na uživatele, aby otevřeli přílohu e-mailu nebo klikli na odkaz v e-mailu, aby se spustili a nainstalovali do počítače. Jako červ se však CryptoLocker může sám replikovat a šířit prostřednictvím vyměnitelných jednotek.
V případě, že potřebujete obnovovací modul, je CryptoLocker ransomware. Toto je typ malwaru, který zamkne soubory ve vašem počítači a vyžaduje výkupné, aby se soubory odemkly. Soubory jsou šifrovány, takže odstranění malwaru tyto soubory neuvolní. Jediným způsobem, jak získat zpět soubory, je zaplatit zločincům jakoukoli částku, kterou vyberou (nedávné útoky představovaly požadavky na bitcoiny), nebo jen vymazat počítač a obnovit ze zálohy.
Nová verze malwaru předstírá, že je aktivátorem softwaru, jako je Adobe Photoshop a Microsoft Office, na webech pro sdílení souborů typu peer-to-peer (P2P), uvedl Trend Micro. Nahrání malwaru na P2P servery umožňuje špatným lidem snadno infikovat systémy bez obtěžování spamovými zprávami.
„Špatní chlapi za touto novou variantou nemusejí vybírat spamovou e-mailovou kampaň, aby rozšířili svůj malware, “ řekl Graham Cluley, bezpečnostní výzkumník.
Jak červ infikuje
Představte si jednoduchý scénář. Půjčíte si jednotku USB, abyste přesunuli soubor z jednoho počítače do druhého nebo někomu dali kopii souboru. Pokud byla tato jednotka napadena červem CryptoLocker, byl infikován veškerý počítač, ke kterému je jednotka připojena. A pokud je tento počítač připojen k síti, může práce Cryptolockeru hledat další připojené jednotky.
„Mohlo by to pro CryptoLocker usnadnit infikování počítačů v celé vaší organizaci, “ řekl Cluley.
Existuje však jedno dobré znamení o této nové variantě. Původní malware CryptoLocker používal algoritmus generování domény (DGA) k periodickému generování velkého počtu doménových jmen pro připojení k serveru příkazů a řízení (C&C). Nová verze CryptoLocker, na druhé straně, nepoužívá DGA, protože URL serverů příkazů a řízení je pevně zakódováno v ransomware, řekl Trend Micro. To usnadňuje detekci a blokování souvisejících škodlivých adres URL.
To by však mohlo znamenat, že malware je stále v procesu vylepšování a vylepšování a novější verze červa mohou mít schopnost DGA, varoval Trend Micro. Jakmile bude zahrnovat DGA, bude obtížnější detekovat a blokovat ransomware.
Co mám dělat?
Trend Micro a Cluley měli několik doporučení, co dělat:
Uživatelé by se měli vyhnout používání P2P serverů k získání kopií softwaru a držet se oficiálních nebo renomovaných webů.
Uživatelé by také měli být velmi opatrní při připojování jednotek USB do svých počítačů. Pokud jste našli někoho ležícího kolem, nezapojujte jej a uvidíte, co na něm může být.
"Ujistěte se, že dodržujete bezpečné výpočtové postupy a dáváte pozor na to, co běží na počítačích, a nezapomeňte aktualizovat antivirový program a rozum o sobě, " řekl Cluley.
