Video: JDYI file virus ransomware [.jdyi] Removal and decrypt guide (September 2024)
Forskare har upptäckt en ny variant av CryptoLocker ransomware som potentiellt kan infektera ännu fler användare än den ursprungliga versionen.
Kriminella bakom CryptoLocker verkar ha ändrat ransomware från en trojan till en USB-spridande mask, skrev forskare från Trend Micro på sin Security Intelligence-blogg nyligen. Som trojan kunde CryptoLocker inte sprida sig själv för att infektera användardatorer. Det förlitade sig på användare att öppna en e-postbilaga eller klicka på en länk i ett e-postmeddelande för att köra och installera sig själv på datorn. Som en mask kan CryptoLocker emellertid kopiera sig själv och spridas via borttagbara enheter.
Om du behöver en uppdatering är CryptoLocker ransomware. Detta är en typ av skadlig kod som låser upp filer på din dator och kräver lösen för att låsa upp filerna. Filerna är krypterade, så att borttagning av skadlig programvara släpper inte filerna. Det enda sättet att få tillbaka filerna är att betala brottslingarna vilket belopp de väljer (senaste attacker har visat krav på BitCoins) eller bara torka av datorn och återställa från säkerhetskopiering.
Den nya versionen av skadlig programvara låtsas vara en aktivator för programvara som Adobe Photoshop och Microsoft Office på peer-to-peer (P2P) fildelningswebbplatser, säger Trend Micro. Att ladda upp skadlig programvara på P2P-webbplatser gör det möjligt för skurkar att smitta system utan att bry sig om spam, enligt blogginlägget.
"De dåliga killarna bakom denna nya variant behöver inte spränga en e-postkampanj för skräppost för att sprida deras skadliga program, " säger Graham Cluley, en säkerhetsforskare.
Hur en mask infekterar
Föreställ dig ett enkelt scenario. Du lånar en USB-enhet för att flytta en fil från en dator till en annan eller för att ge någon en kopia av filen. Om denna enhet var infekterad med CryptoLocker-masken, skulle alla datorer som enheten ansluten till vara infekterade. Och om den datorn är ansluten till ett nätverk kan Cryptolocker-arbetet leta efter andra anslutna enheter.
"Det kan göra det lättare för CryptoLocker att smitta datorer över hela din organisation, " sa Cluley.
Det finns dock ett bra tecken på denna nya variant. Det ursprungliga malware CryptoLocker använde domängenerationsalgoritmen (DGA) för att regelbundet generera ett stort antal domännamn för att ansluta till kommandot-och-kontroll-servern. Den nya versionen av CryptoLocker, å andra sidan, använder inte DGA som URL till kommandon och kontrollservrarna är hårdkodade i ransomware, säger Trend Micro. Detta gör det lättare att upptäcka och blockera relaterade skadliga webbadresser.
Men det kan bara betyda att skadlig programvara fortfarande håller på att förfinas och förbättras, och senare versioner av masken kan ha DGA-kapacitet, varnade Trend Micro. När den väl har inkluderat DGA, skulle det vara svårare att upptäcka och blockera ransomware.
Vad gör jag?
Trend Micro och Cluley hade några rekommendationer om vad man ska göra:
Användare bör undvika att använda P2P-webbplatser för att få kopior av programvara och hålla sig till officiella eller ansedda webbplatser.
Användare bör också vara extremt försiktiga med att ansluta USB-enheter till sina datorer. Om du hittade en liggande runt, koppla inte in den för att se vad som kan finnas på den.
"Se till att du följer säker datapraxis och är noga med vad du kör på dina datorer och glöm inte att hålla ditt antivirus uppdaterat och ditt förnuft om dig", sa Cluley.
