HavanaCryptランサムウェアがGoogleアップデートを装う from securityboulevard.com
security summary
「関連するすべてのプロセスを終了した後、HavanaCryptは使用可能なすべてのディスクドライブにクエリを実行し、シャドウコピーを削除して、最大ストレージ容量を401MBにサイズ変更します」と研究者は述べています。
「この機能は、スレッドプールが利用可能になったときにタスクを実行するために使用されます」とトレンドマイクロは述べています。
暗号化中、HavanaCryptはKeePassPasswordSafeモジュールを使用します。
トレンドマイクロの研究者は、HavanaCryptが「潜在的な被害者をだまして悪意のあるバイナリを実行させる」ためのGoogleソフトウェアアップデートアプリケーションになりすましていることに注目し、「ランサムウェアがMicrosoft Webホスティングサービスの一部であり、おそらく検出を回避するためのWebホスティングサービスとして使用されます」
また、ランサムウェアはテキストファイルfoo.txtを暗号化し、身代金メモをドロップしないため、 「HavanaCryptがまだ開発段階にあることを示している可能性があります。それでも、さらに進化してさらに大きなダメージを与える前に、HavanaCryptを検出してブロックすることが重要です」とTrendMicroは述べています。
「QueueUserWorkItemはスレッドプールを作成するための標準的な手法です。スレッドプールを使用すると、被害者のマシン上のファイルの暗号化が高速化されます。これはほとんどのプログラマーに知られているはずの標準的な手法です」とIntel471の研究者は説明しました。
コメント