På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

Advarsel om Cryptowall 4.0 (Help_your_files ransomware)

Cryptowall 4.0 er nu i omløb, og spredes via spammails. De første internationale tegn kom for et par dage siden og nu er advarslen rejst globalt. Desværre, er der på dette tidspunkt ingen måde at gendanne filer, uden at gendanne fra en sikkerhedskopi eller betale løsesum, sidstnævnte fraråder vi på det stærkeste. Man skal således være proaktiv omkring beskyttelse og sikre at ikke også back-up inficeres. Udsættes man for ransomware, bør man informere Politiets NC3.

Beskrivelse
CryptoWall 4,0  kommer med en re-designet besked om opkrævning af løsesum, nye filnavne, og nu med kryptering af både filer og fil navne. Ofrene rapporterer på denne nye variant at være smittet med, hvad der kaldes Help_your_files ransomware.
Krypteringen af filnavne er sandsynligvis til for at gøre det vanskeligere at vide, hvilke filer man vil prioritere at få dekrypteret og for at gøre det mere frustrerende for ofret.

CryptoWall 4.0 kommer med et redesign af HTML beskeden om krav på løsesum, sammen med det udskiftede navn til: Help_your_files.html.
Af ordlyden, i beskeden er der en generel arrogance- og der leges kispus med ofret.

Sådan ser beskeden ud (Klik på billedet for stor komplet version)

Billedmateriale leveret af BleepingComputer

Beskeden
Beskeden og kravet om løsesum står på et lidt ubehjælpsomt engelsk,
Men her er nogle oversatte eksempler/ citater fra beskeden om krav på løsesum er:

Kan du ikke finde de filer, du har brug for?
Er indholdet af de filer, du har set ikke læsbar?
Det er normalt, fordi filernes navne, samt data i dine filer er blevet krypteret.
Tillykke !!!
Du er blevet en del af et stort fællesskab - CryptoWall.
 
CryptoWall Projektet er ikke skadeligt og er ikke beregnet til at skade en person og hans / hendes informationsdata.
Projektet gennemføres udelukkende med det ene formål at undervise i informationssikkerhed, samt påpegning af antivirus produkters ringe egnethed til databeskyttelse.
Sammen kan vi gøre internettet til et bedre og mere sikkert sted.

Metoder
CryptoWall fortsætter med at bruge de samme e-mail-distributionsmetoder som den tidligere version. Spammailen man modtager foregiver at være et CV inde i en vedhæftet zipped fil. Men disse er dog faktisk JavaScript-filer, som ved aktivering henter en eksekverende fil der gemmes i folderen Windows% Temp%, hvorfra den påbegynder krypteringen. Vi må forvente at dervil komme varianter hvor de vedhæftede filer ikke nødvendigvis foregiver at være CV'er, men andre filnavne, som man kan føle sig lokket til at klikke på.
 
CryptoWall 4,0 har de samme installations egenskaber og kommunikationsmetoder som tidligere versioner. Når der kommunikeres med Command & Kontrol Servere, vil CryptoWall 4,0 fortsat anvende RC4 kryptering. Den fortsætter også med at skabe et offers entydig identifikatiner ud fra udfra oplysninger fra offerets PC (MD5 hash af computerens computernavn, volumen serienummer, processor oplysninger, og OS version). Ligesom sine forgængere, vil Cryptowall 4.0, når den er installeret, injicere sig selv ind Explorer.exe og deaktivere Systemgendannelse, slette alle Shadow Volume kopier, og vil bruge bcdedit til at slå Windows Startup Repair fra. Den vil derefter injicere sig selv i svchost.exe og kryptere data på alle lokale drev, flytbare drev og tilknyttede netværksdrev. Når krypteringen er udført, vil den vise en besked med opkrævning af løsesum, der forklarer, hvad der skete, og hvordan du køber en Decrypter.
CryptoWall 4,0 fortsætter med at udnytte den samme Dekryptér service websted, som tidligere versioner. Fra dette site kan ofret kan foretage betalinger, finde ud af status af en betaling, få en gratis dekryptering og oprette anmodninger om support. 

Men lad os gentage at vi fraråder på det stærkeste, at man betaler løsesum til kriminelle, vil man ofre penge,- så bør man hellere betale for en løsning der på forhånd dæmmer op for disse typer problemer….

Powered by wpsnet.com