A adição de rotinas de propagação, significa que o malware pode facilmente se espalhar, ao contrário de outras variantes CRILOCK já conhecidas. Além de sua técnica de propagação, o novo malware possui inúmeras diferenças em relação à variantes CryptoLocker já existentes. Ao invés de depender de um malware downloader, muitas vezes para infectar sistemas, este malware finge ser um ativador para vários softwares como o Adobe Photoshop e Microsoft Office em redes peer-to-peer (P2P) e sites de compartilhamento de arquivos.
Enviando o malware através de sites P2P, há a permissão para que bandidos possam infectar, facilmente, muitos sistemas, sem que haja a necessidade de criar (e enviar) mensagens de spam. Uma análise mais aprofundada feita sobre o WORM_CRILOCK, revela que existe uma diferença gritante em comparação com as variantes anteriores. O malware teria renunciado ao domain generation algorithm (DGA). Ao invés disso, seus servidores de comando e controle (C & C) seriam codificados para o malware.
Nessa sequência, codificar as URLs torna-se mais fácil em referência às tarefas de detectar e bloquear as URLs maliciosas relacionadas. DGA, por outro lado, permite que os cibercriminosos possam evitar a detecção, uma vez que usa um grande número de domínios potenciais. Isto significa que o malware ainda está em um processo de ser refinado e melhorado.
Saiba Mais:
[1] Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...ovable-drives/