Zepto Ransomware垃圾邮件,警告研究人员巨大的上升
锁定业务关键数据和要求付款的赎金软件继续增加网络犯罪分子的人气,并正在进行一场新的活动,警告研究人员正在进行中。
根据思科的Talos安全智能和研究组,旨在通过Zepto Ransomware感染Zepto Ransomware的垃圾邮件数量巨大增加。
Zepto是一个锁定的变种,这是2016年第一季度最广泛的赎金软件袭击之一,影响了114个国家的组织。
安全研究人员在Zepto上保持密切的手表,并试图找到尽可能多的东西,因为它具有锁定的紧密关系,其专业构建以及仍然没有已知的解密信息的方法。
据威胁普斯特称,塔尔多斯传教士尤为关切的是,Zepto将进入利用套件,攻击者将从垃圾邮件从垃圾邮件移到其他分销方法,例如恶意。
Zepto与锁定分享几种技术相似之处,包括使用类似的RSA加密密钥和文件类型来感染系统。
2016年5月,Kasperky Lab和Fireeye的安全研究人员将Ransomware确定为对业务的最大威胁。2016年4月,ESET报告说,Ransomware占在英国互联网用户的四分之一的网络威胁。
Talos研究人员报告说,一场新鲜的Zepto Spam竞选活动于2016年6月27日开始,其中载有137,731条垃圾邮件,携带卷轴器在前四天记录。
所有都使用压缩的.zip存档,其中包含用于将收件人计算机与Zepto Ransomware感染的恶意JavaScript文件。所有JavaScript文件名称以“SWIFT”开头,然后是一组十六进制字符。
垃圾邮件消息使用各种主题行,例如“文档副本”和各种发件人配置文件,例如“CEO”,以鼓励收件人打开消息并执行恶意JavaScript。
电子邮件的正文通常会促请收件人查看他们的“请求的”文档,而附加的.zip文件的名称是通过组合收件人的名称和诸如PDF_Copy-Peter_461397之类的随机数来创建的。
恶意javascript使用“wscript.exe”启动HTTP GET请求到定义的命令和控制(C&C)域,其中一些样本启动与单个域的连接,而其他样本连接到九个域。
一旦下载和执行二进制文件,就会开始加密本地文件的进程,然后要求比特币中的ransom解密文件。
这不是一种新的攻击方法,但它是一个越来越多的攻击,根据沃伦·梅克,Talos工程技术领先地位。
“网络钓鱼/垃圾邮件活动现在通常具有较大的相关赎金风险,这并不不同。不幸的是,拒绝用户的文件的能力与人们面对每天面临的攻击是非常正常的,“他在博客帖子中写道。
根据Mercer的说法,网络攻击者并不关心他们摧毁的东西,但只是关心从受害者那里获得支付。
“电子邮件攻击矢量将继续用作电子邮件是一个日常发生以及为垃圾邮件广告系列生成大型电子邮件列表的能力,如此越来越容易,”他说。
“发生的违规者,包括电子邮件数据,该数据被积极出售给地下的竞选人员进行这种类型的运动。”
Mercer表示,同时确保用户小心电子邮件附件将有助于降低感染的可能性,企业应该有一个好的文件备份策略。
Talos还建议使用系统来防止执行恶意软件,Web扫描工具来阻止访问恶意软件站点,下一代防火墙检测恶意网络活动和电子邮件扫描系统以阻止恶意电子邮件广告系列。
为了帮助信息安全团队,Talos已发布Zepto Ransomware活动的妥协指标。
根据Dowser网站,Zepto是在为时已晚之前处理和检测的最困难的恶意软件之一。
预防比治愈更好,Dowser提供了一些关于如何检测Zepto并限制它可以做的损坏的提示和指导方针。