A Check Point Software Technologies Ltd. blogján megjelent cikk szerint a Cerber és a Locky, a két jelenleg legelterjedtebb zsarolóvírus egyszerre engedte szabadjára új verzióját. Az új zsarolóvírus-verziók apró, de nagyon érdekes változásokkal bírnak, amelyek hatással lehetnek a velük szemben eddig használt módszerekre.

A Cerber 5.0 a régiek mellett, új IP-kat is használ

A Cerbert mĹąködtetők, hasonlóan a zsarolóvírusok világának más szereplőihez, napi szinten bizonyítják innovativitásukat. November 23-án a Cerber egy új verziója jelent meg, a 4.1.6. számú, alig 24 órával később pedig már egy újabb, az 5.0-s verzió is megjelent. A jelen cikk ez utóbbit írja le.

A mostani Cerber verzióban az egyik legjelentősebb változás az új IP címtartományok használata a ellenőrző-irányító (C&C) kommunikáció során. A Cerber használ egy, a már korábbi verziójában (4.1.6) is használt IP címtartományok mellett, új címtartományokat is használ.

Az új IP címtartományok:

194.165.17.0/24

194.165.18.0/24

194.165.19.0/24

15.93.12.0/27

63.55.11.0/27

A korábbi, de most is használt IP címtartományok:

194.165.16.0/24

A korábbi verziókban, a Cerber a fentiekben felsorolt körökbe tartozó valamennyi IP-címre küldött üzeneteket UDP-n keresztül. A kommunikációt indító üzenet: “hi(0-9){4}b(0-9){3}”.

A Cerbert jelenleg spam e-mail kampányokon és u.n. exploit kiteken keresztül terjesztik, elsősorban a Rig-V Exploit Kiten keresztül. A titkosított file-kiterjesztéseket véletlenszerĹąen generálják, épp mint a Cerber legutóbbi verziói esetében, 4 véletlenszerĹąen kiválasztott alfabetikus betĹą használatával. A Cerber ezen verziója továbbra is az adatbázisokra és az azokhoz kapcsolódó file-okra fókuszál, és titkosítja a különböző típusú adatbázis file-okat. Ráadásul, a Cerber egy desktop üzenetben informálja a felhasználókat, hogy melyik zsarolóvírus titkosította őket. 

Mindezeken túl, a titkosítási utasítások megjelennek egy inaktív .hta file-ban, különböző nyelveken megadott információkkal egyetemben.

Locky

Az állandóan változó Locky zsarolóvírus is a napokban adott ki egy újabb variánst, mely új behatolási technikákat és testre szabott zsaroló tarifát alkalmaz. A Locky-ról tudjuk, hogy JavaScript alapú letöltőprogram használatával dll file-ként töltődik le. Annak ellenére, hogy az új verzió is ugyanígy viselkedik, a JavaScript letöltőprogram rejtett .TDB file-t húz be, mely PE file-á alakul át. A Locky valószínĹąleg olyan biztonsági termékeket szeretne kikerülni, melyek szignálják a már ismert fertőzési láncokat.

Hasonlóan valamennyi korábbi verzióhoz, Locky most is lecseréli a titkosított file-kiterjesztéseket; ezúttal arra, hogy .zzzzz. 

Egy másik, említésre érdemes viselkedés a kizsarolt fizetés variálása. Azt tapasztaltuk, hogy az alapértelmezett összeg 3 Bitcoin; amikor viszont engedi a rosszindulatú programot kommunikálni az ellenőrző-irányító (C&C) rendszerrel, a fizetendő összeg változhat az áldozat jellemzőinek függvényében, különösen a titkosított file-ok száma alapján. A Check Point laborjában kért legalacsonyabb összeg a 0,5 Bitcoin volt.

Összefoglalva, a Cerber és a Locky létrehozói folyamatosan alkalmazkodnak a biztonsági szolgáltatók ellenlépéseihez. A Cerber 5.0 és a Locky .zzzzz a zsarolóvírusok legújabb, de biztosan nem az utolsó verziói.

A biztonsági szolgáltatóknak továbbra is, mint eddig mindig, egy lépéssel előttük kell haladni.