[You must be registered and logged in to see this image.]The Cyber Threat Alliance (CTA), организация, съставена от компании, като
Fortinet, Intel Security, Palo Alto Networks, Symantec и други фирми от
антивирусната индустрия съобщиха за излизането на подробно изследване на
CryptoWall, предоставяйки информация за заплахата, начини за избягване на опасностите, свързани със заплахата, адреси на контролните му сървъри и друга полезна информация.
Любопитен момент от доклада на специалистите е, че ако
малуерът засече, че е инсталирани на машина, намираща се в
Русия, Беларус, Украйна, Казахстан, Армения, Сърбия или Иран, то се деинсталира веднага. Това, по думите на CTA, посочва, че вероятно
операторите на атаките с Cryptowall се намират в Източна Европа. Докладът разглежда последната версия на криптомалуера - Cryptowall 3.
Семейството на
Cryptowall е нанесло щети на стойност $325 млн. от началото на появата си (първите проби от малуера са открити през лятото на миналата година). Специалистите са събрали и анализирали над 4000 малуер проби, регистрирани са близо 900 командни сървъра и над 400 000 опита за зараза с криптиращия малуер.
Пътят на разпространението на малуера се случва най-често посредством
фишинг писма и прикачени към тях файлове с разширение .scr и .exe. На второ място, разпространението му се осъществява посредством комплекти за експлоатиране на уязвимости и най-вече
Angler."Angler е един от най-сложните
експлойт комплекти, достъпни на подземния пазар. Той притежава способността да
инжектира зловредния си товар директно в паметта на атакуваната машина, която използва уязвимата приставка без да записва зловреда на диска", обясняват специалистите. Разработчиците съобщават, че администриращите Angler, реагират бързо при появата на всяка нова уязвимост за известните софтуерни продукти, допълвайки пакета с тях, понякога за броени часове, след излизането на обновление за нея.
Пълният доклад на CTA може да откриете тук (pdf).