28 mai Kaspersky Lab Centre Asie-Pacifique pour le virus Dong Yan a annoncé, « la technologie de détection et de prévention de Kaspersky ont fait de nouveaux progrès dans le nuage, les systèmes d'analyse des logiciels malveillants Kaspersky ont plate-forme de virtualisation indépendante peut échapper à la détection de la plate-forme de virtualisation de logiciels malveillants et système d'analyse des logiciels malveillants dans une vitesse de fonctionnement virtuelle de l'environnement réel est pas différent ".
Il a également dit qu'en plus spécifique agit de logiciels d'extorsion, le code de test à l'extérieur, le système d'analyse Kaspersky peut également être analysé pour détecter les actes de l'extorsion de fonds contre le logiciel général, ce qui lui permet de détecter ransomware inconnu. Par exemple, la version originale WannaCry est détectée par cette technique. En outre, le système d'analyse Kaspersky cloud peut également détecter l'extorsion de fonds de contre-mesure du logiciel, comme le chargement et la réflexion à long cyclique.
Kaspersky Lab Centre Asie-Pacifique pour le virus Dong Yan
2017, après une épidémie de Blue Eternal (WannaCry), mauvais lapin, l'extorsion de fonds Petya et d'autres logiciels, de sorte que de nombreuses infrastructures d'information critiques dans le gouvernement, l'éducation, les hôpitaux, l'énergie, les télécommunications, la fabrication a subi une perte de lourds sans précédent.
Alors que la société a déterminé à protéger les attaques ransomware à la fin, la ransomware a commencé tranquillement contre-attaque. Depuis 2018, la variante ransomware de la complexité et de la vitesse ont augmenté, et en utilisant diverses techniques d'obscurcissement, design plus sophistiqué pour garantir la précision de l'attaque.
WannaCry version initiale de l'interface simple
monde en réseau d'aujourd'hui, la menace ransomware persiste, étude Kaspersky Lab de logiciels d'extorsion de fonds n'a jamais cessé récemment, Kaspersky Lab résoudra le développement de logiciels d'extorsion de fonds et la technologie offensive et défensive de faire une très bonne interprétation.
Depuis 1989, le sida / PC virus de l'extorsion Cyborg a commencé. Ransomware se compose généralement de deux formes: Premier écran de verrouillage de classe et verrouiller le téléphone ordinateur ou mobile de l'utilisateur, pour demander à l'utilisateur de payer une rançon pour déverrouiller, la seconde est la classe de chiffrement des fichiers utilisateur Crypter, d'exiger à l'utilisateur de payer une rançon pour décrypter le fichier. logiciel de cryptage de fichiers actuellement chantage essentiellement comme nous l'avons rencontré.
Le processus général de destruction des infections ransomware: les auteurs de logiciels d'extorsion utiliser l'algorithme de chiffrement symétrique pour crypter les fichiers utilisateur, clé de protection avec l'algorithme de chiffrement asymétrique. La clé est assez long, on peut dire être incassable.
Kaspersky pour les caractéristiques WannaCry et ExPetr ont été analysées. WannaCry sa version précédente, il n'y a pas de différence essentielle, mais à cause de l'introduction des exploits bleu éternel, il a causé une infection à court explosif. Kaspersky système de traçabilité des échantillons, les chercheurs de Kaspersky a constaté que la version initiale WannaCry et a constaté que la porte arrière d'attaque nord-coréenne Contopee Lazarus Bangladesh Bank a utilisé un code commun.
GandCrab utilisation Nsis confusion lui-même emballage
Diffusion ExPetr intranet En plus d'utiliser les exploits bleus éternels, la technique de mouvement latéral utilisera les attaques APT, y compris le réseau. Et avec la fin de 2015 ExPetr attaque programme de nettoyage de disque dur BlackEnergy centrales ukrainiennes ont un code similaire, ce qui rend les chercheurs croient ExPetr peut être attribuée à l'attaque du développement organisationnel BlackEnergy - la célèbre organisation d'attaque APT russe Sofacy.
GandCrab de GlobeImposter et caractéristiques populaires nationales ont été analysées. Les deux utilisent une variété de méthodes de cycle long, réflexion, tels que la charge contre les logiciels de sécurité, les systèmes d'analyse des fournisseurs de sécurité afin qu'aucun système de logiciel de sécurité exceptionnelle de défense active ne peuvent pas résister à leurs attaques.
Cependant, pour tout cela, Kaspersky Anti-Virus technologie de pointe semble facilité.
« Dans le client, nous avons aussi ransomware de défense des technologies de pointe. En plus de l'analyse des fichiers statiques traditionnels et l'analyse heuristique, système de défense proactive de Kaspersky peut analyser leur comportement tout en exécutant un logiciel d'extorsion, quand il est reconnu lorsque des actions sont compatibles avec les modèles de comportement ransomware à bloc, et tous leurs rouleaux d'appui des opérations effectuées, la restauration de fichiers cryptés par des changements d'extorsion ransomware et logiciels les paramètres de registre. « Dong Yan a dit, Kaspersky également créés grâce à la technologie de la technologie locale de hachage sensible VisHash, qui utilise des malwares une VisHash passe pour tuer un groupe de même, de sorte qu'une partie du virus utilise également un simple « tuer sans technologie » invalide, par exemple, en 2018 le pays a été ravagée échantillon GlobeImposter en fait, le code est très similaire à l'autre, et ces échantillons peuvent être couverts par une VisHash.
