«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2018 года |
28 февраля 2018 года
В феврале 2018 года был обнаружен троянец-майнер, который мог удаленно заражать различные Android-устройства с активным режимом отладки. Кроме того, в уходящем месяце пользователям угрожал троянец Android.BankBot.336.origin, кравший конфиденциальную информацию и похищавший деньги с банковских счетов.
В феврале получил распространение троянец Android.CoinMine.15, которого вирусописатели использовали для добычи криптовалюты Monero. Эта вредоносная программа представляла собой червя и могла самостоятельно заражать подключенные к сети смартфоны, планшеты, телевизоры, роутеры и другие Android-устройства, если на них был включен режим отладки Android Device Bridge (ADB). В случае успешного инфицирования очередного устройства один из компонентов троянца пытался обнаружить следующую доступную цель и устанавливал на нее копию Android.CoinMine.15.
В уходящем месяце в каталоге Google Play был обнаружен троянец Android.BankBot.336.origin, которого вирусописатели распространяли под видом универсального приложения для работы с различными системами онлайн-банкинга. Вредоносная программа похищала логины и пароли от учетных записей пользователей, а также информацию о банковских картах, после чего могла незаметно переводить злоумышленникам деньги.
Вирусописатели продолжают совершенствовать вредоносные программы для ОС Android и распространяют их с применением как привычных, так и новых механизмов. При этом различные троянцы по-прежнему встречаются в каталоге Google Play. Для защиты смартфонов, планшетов и других устройств от этих угроз пользователям следует установить антивирусные продукты Dr.Web для Android.
|
|
Около 8% умных телевизоров и устройств на Android уязвимы для нового майнера: «Доктор Веб» рассказывает, как защититься |
8 февраля 2018 года
Этот Android-троянец, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Вредоносная программа Android.CoinMine.15 заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но также смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – то есть устройства, использующие отладку по сети. Еще одним потенциально уязвимым устройством является одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.
Распространение троянца происходит следующим образом. С другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Затем файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. После этого он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.
В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем — чаще всего режим отладки необходим разработчикам программ. Согласно статистике, собранной Dr.Web для Android, отладчик Android Debug Bridge включен на 8% устройств, защищенных нашим антивирусом. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.Web – Аудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.
Специалисты компании «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку операционной системы на предмет потенциально опасных настроек. Для этого на нашем сайте или в официальном каталоге Google Play можно приобрести Dr.Web Security Space для Android, в состав которого входит Аудитор безопасности. Если на вашем устройстве включена, но не используется отладка по USB, лучше эту функцию отключить. Троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android, поэтому не представляет угрозы для наших пользователей.
#Android #майнинг #криптовалюты
|
|
«Доктор Веб» предупреждает о распространении нового троянца-шифровальщика |
5 февраля 2018 года
Троянец, названный создателями «GandCrab!», был добавлен в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Он присваивает зашифрованным файлам расширение *.GDCB. В настоящее время известно две версии этого энкодера.
Запустившись на атакуемом устройстве, работающем под управлением Microsoft Windows, Trojan.Encoder.24384 может собирать информацию о наличии запущенных процессов антивирусов. Затем, выполнив проверку с целью предотвращения повторного запуска, он принудительно завершает процессы программ по заданному вирусописателями списку. Установив свою копию на диск, для обеспечения своего автоматического запуска энкодер модифицирует ветвь системного реестра Windows.
Троянец шифрует содержимое фиксированных, съемных и сетевых дисков, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.
Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса этого сервера шифровальщик выполняет команду nslookup и ищет нужную информацию в ее выводе.
В настоящее время расшифровка файлов, зашифрованных троянцем Trojan.Encoder.24384, невозможна. Компания «Доктор Веб» снова напоминает пользователям, что наиболее надежным способом уберечь свои файлы является своевременное резервное копирование всех важных данных, при этом для хранения резервных копий желательно использовать внешние носители информации.
| Подробнее о шифровальщиках | Что делать, если... | Видео о настройке | Бесплатная расшифровка | Рубрика «Закодировать все» |
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2018 года |
31 января 2018 года
В январе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play около трех десятков игр, в которые был встроен троянец. Он незаметно скачивал и запускал вредоносные модули, способные выполнять различные действия. Кроме того, в уходящем месяце владельцам смартфонов и планшетов угрожал очередной Android-банкер, предназначенный для кражи конфиденциальной информации и денег. Также в январе в вирусную базу Dr.Web были добавлены записи для детектирования нескольких троянцев-шпионов. Среди распространявшихся вредоносных программ оказался и новый троянец-майнер, который использовал мощности зараженных мобильных устройств для добычи криптовалюты Monero.
В январе специалисты компании «Доктор Веб» обнаружили в каталоге Google Play почти 30 игр, в которые был встроен троянец Android.RemoteCode.127.origin. Он входил в состав специализированной программной платформы для расширения функционала приложений. Android.RemoteCode.127.origin незаметно скачивал и запускал вспомогательные модули, которые могли выполнять самые разнообразные действия. Например, скрытно открывать веб-сайты и нажимать на расположенные на них рекламные ссылки и объявления, имитируя действия пользователей. Подробнее об этом троянце рассказано в нашем новостном материале.
В уходящем месяце злоумышленники распространяли банковского троянца Android.BankBot.250.origin, который показывал поддельные окна ввода логина и пароля и передавал киберпреступникам вводимую конфиденциальную информацию. Он мог перехватывать СМС с проверочными кодами и незаметно подтверждал перевод денег на счета вирусописателей, а также другие операции в системах онлайн-банкинга.
В январе в вирусную базу Dr.Web были добавлены новые записи для детектирования нескольких троянцев-шпионов. Одним из них был Android.Spy.422.origin, известный также под именем Dark Caracal. Злоумышленники использовали эту вредоносную программу для кибершпионажа. Android.Spy.422.origin похищал СМС-сообщения, отслеживал телефонные звонки, крал фотографии, историю веб-браузера и сохраненные в нем закладки, записывал окружение при помощи встроенного микрофона зараженного мобильного устройства и выполнял ряд прочих действий. Другие троянцы-шпионы представляли собой новые модификации вредоносной программы Android.Spy.410.origin, известной специалистам «Доктор Веб» с декабря 2017 года. Она отслеживает переписку в популярных программах, таких как Telegram, WhatsApp, Skype и других, перехватывает СМС-сообщения и телефонные звонки, а также похищает фотографии.
Среди выявленных в январе вредоносных программ для ОС Android оказался и троянец-майнер, получивший имя Android.CoinMine.8. Киберпреступники распространяли его под видом игр и программ, доступных для бесплатного скачивания на одном из веб-сайтов. В действительности все эти приложения были троянцем, который использовал зараженные устройства для майнинга криптовалюты Monero.
Злоумышленники по-прежнему создают новые вредоносные и нежелательные приложения для ОС Android и распространяют их не только через мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от таких угроз рекомендуем установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в январе 2018 года |
31 января 2018 года
Начало 2018 года ознаменовалось обнаружением в каталоге Google Play нескольких игр для ОС Android со встроенным троянцем, скачивавшим и запускавшим на инфицированных устройствах вредоносные модули. Также вирусные аналитики исследовали несколько троянцев-майнеров, заражавших серверы под управлением Windows. Все они использовали уязвимость в программном обеспечении Cleverence Mobile SMARTS Server.
Cleverence Mobile SMARTS Server — это комплекс приложений для автоматизации магазинов, складов, различных учреждений и производств. Уязвимость нулевого дня в этих программах аналитики «Доктор Веб» обнаружили еще в июле 2017 года и сообщили о ней разработчикам ПО. Вскоре те выпустили обновление безопасности для своего программного продукта. Однако далеко не все администраторы установили это обновление, что позволило злоумышленникам продолжить взломы уязвимых серверов. Для этого киберпреступники отправляют на уязвимый сервер специальный запрос, в результате чего происходит выполнение содержащейся в нем команды. Затем взломщики создают в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.
Используемый взломщиками майнер непрерывно совершенствуется. Изначально они устанавливали несколько модификаций троянца, добавленных в вирусную базу Dr.Web под именами Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. Позже этот список пополнили Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033, а самой актуальной версией майнера на текущий момент является Trojan.BtcMine.1978.
Этот троянец запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После старта майнер пытается остановить процессы и удались службы нескольких антивирусов. Киберпреступники используют Trojan.BtcMine.1978 для добычи криптовалют Monero (XMR) и Aeon. Специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности Cleverence Mobile SMARTS Server, а более подробную информацию об этом инциденте можно найти в опубликованной на нашем сайте обзорной статье.
В январе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение января 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 309 933 интернет-адреса.
| декабрь 2017 | январь 2018 | Динамика |
|---|---|---|
| + 241 274 | + 309 933 | +28.4% |
В январе вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.RemoteCode.127.origin, встроенного во множество доступных в каталоге Google Play Android-игр. Он незаметно загружал и запускал вредоносные модули, которые могли выполнять разнообразные действия. Помимо этого, в уходящем месяце пользователям угрожал банковский троянец Android.BankBot.250.origin, который крал логины и пароли для доступа к учетным записям онлайн-банкинга. Кроме того, в январе специалисты по информационной безопасности выявили вредоносную программу-майнер, получившую имя Android.CoinMine.8. Этот троянец использовал мощности зараженных смартфонов и планшетов для добычи криптовалюты Monero. В этом же месяце в вирусную базу Dr.Web было добавлено несколько записей для детектирования Android-шпионов, которых злоумышленники использовали для слежки. Одним из них был Android.Spy.422.origin. Другие вредоносные приложения являлись новыми модификациями троянца Android.Spy.410.origin, распространявшегося еще в декабре 2017 года.
Наиболее заметные события, связанные с «мобильной» безопасностью в январе:
Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.
|
|
Уязвимость в Cleverence Mobile SMARTS Server используется для добычи криптовалют |
24 января 2018 года
Приложения семейства Cleverence Mobile SMARTS Server созданы для автоматизации магазинов, складов, различных учреждений и производств. Они предназначены для работы на ПК под управлением Microsoft Windows. В конце июля прошлого года специалисты компании «Доктор Веб» обнаружили критическую уязвимость в одном из компонентов Cleverence Mobile SMARTS Server, с использованием которой злоумышленники получают несанкционированный доступ к серверам и устанавливают на них троянцев семейства Trojan.BtcMine, предназначенных для добычи (майнинга) криптовалют. Об этой уязвимости мы незамедлительно сообщили разработчикам программного комплекса.
Изначально киберпреступники использовали несколько версий майнера, детектируемых антивирусом Dr.Web как Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. На сервер, на котором работает ПО Cleverence Mobile SMARTS Server, злоумышленники отправляют специальным образом сформированный запрос, в результате чего происходит выполнение команды, содержащейся в этом запросе. Взломщики используют команду для создания в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.
Этот троянец представляет собой динамическую библиотеку, которую киберпреступники сохраняют во временную папку и затем запускают. Вредоносная программа заменяет собой одну из легитимных системных служб Windows, выбирая «жертву» по ряду параметров, при этом файл оригинальной службы удаляется. Затем вредоносная служба получает ряд системных привилегий и устанавливает для своего процесса флаг критического. После этого троянец сохраняет на диск необходимые для своей работы файлы и приступает к майнингу криптовалюты, используя аппаратные ресурсы инфицированного сервера.
Несмотря на то, что разработчики Cleverence Mobile SMARTS Server своевременно выпустили обновление, закрывающее уязвимость в программном комплексе, многие администраторы серверов не торопятся с его установкой, чем и пользуются злоумышленники. Киберпреступники продолжают устанавливать на взломанные ими серверы троянцев-майнеров, постоянно модифицируя их версии. Со второй половины ноября 2017 года злоумышленники начали использовать принципиально нового троянца, которого они совершенствуют и по сей день. Эта вредоносная программа получила название Trojan.BtcMine.1978, она предназначена для добычи криптовалют Monero (XMR) и Aeon.
Майнер запускается в качестве критически важного системного процесса с отображаемым именем «Plug-and-Play Service», при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После запуска Trojan.BtcMine.1978 пытается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender. Затем майнер ищет запущенные на атакуемом компьютере процессы антивирусных программ. В случае успеха он расшифровывает, сохраняет на диск и запускает драйвер, с помощью которого пытается завершить эти процессы. Антивирус Dr.Web успешно обнаруживает и блокирует драйвер Process Hacker, который использует Trojan.BtcMine.1978, — этот драйвер был добавлен в вирусные базы Dr.Web как хакерская утилита (hacktool).
Получив из собственной конфигурации список портов, Trojan.BtcMine.1978 ищет в сетевом окружении роутер. Затем с помощью протокола UPnP он перенаправляет TCP-порт роутера на порты из полученного списка и подключается к ним в ожидании соединений по протоколу HTTP. Необходимые для своей работы настройки вредоносная программа хранит в системном реестре Windows.
В теле майнера содержится список IP-адресов управляющих серверов, которые он проверяет с целью обнаружить активный. Затем троянец настраивает на зараженной машине прокси-серверы, которые будут использоваться для добычи криптовалют. Также Trojan.BtcMine.1978 по команде злоумышленников запускает оболочку PowerShell и перенаправляет ее ввод-вывод на подключающегося к скомпрометированному узлу удаленного пользователя. Это позволяет злоумышленникам выполнять на зараженном сервере различные команды.
Выполнив эти действия, троянец встраивает во все запущенные процессы модуль, предназначенный для добычи криптовалют. Первый процесс, в котором этот модуль начинает работу, и будет использоваться для майнинга Monero (XMR) и Aeon.
Несмотря на то, что Trojan.BtcMine.1978 обладает механизмом, позволяющим принудительно завершать процессы антивирусных программ, наши пользователи могут чувствовать себя в безопасности, поскольку самозащита Антивируса Dr.Web не дает троянцу нарушить работу критически важных компонентов. Администраторам серверов, использующих Cleverence Mobile SMARTS Server, специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности.
| Подробнее о троянце |
|
|
«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4 500 000 раз |
|
|
«Доктор Веб»: обзор вирусной активности за 2017 год |
29 декабря 2017 года
С точки зрения информационной безопасности уходящий 2017 год запомнится, безусловно, такими яркими событиями как глобальные атаки червей-шифровальщиков WannaCry, NePetya и BadRabbit, а также появлением значительного числа Linux-троянцев для так называемого «Интернета Вещей». Кроме того, этот год был отмечен распространением на многочисленных веб-сайтах вредоносных сценариев, предназначенных для майнинга (добычи) криптовалюты.
Весной 2017 года вирусные аналитики компании «Доктор Веб» исследовали новый бэкдор для операционной системы macOS — это была одна из немногих вредоносных программ для ОС компании Apple, добавленных в вирусные базы в этом году. Также в течение прошедших 12 месяцев появлялись новые банковские троянцы, предназначенные для хищения средств со счетов клиентов кредитных организаций: одну из таких вредоносных программ, Trojan.PWS.Sphinx.2, вирусные аналитики «Доктор Веб» исследовали в феврале, другую — Trojan.Gozi.64 — в ноябре 2017 года.
Высокую активность в уходящем году проявляли сетевые мошенники: компания «Доктор Веб» неоднократно сообщала о раскрытии новых схем обмана интернет-пользователей. В прошедшем марте сетевые жулики попытались выманить деньги у владельцев и администраторов различных интернет-ресурсов, для чего создали порядка 500 мошеннических веб-страниц. В своих спам-рассылках киберпреступники пытались выдать себя за сотрудников компаний «Яндекс» и «RU-Center», а также придумали мошенническую схему, в которой для получения несуществующей выплаты от потенциальной жертвы требовали указать Страховой номер индивидуального лицевого счета в системе пенсионного страхования (СНИЛС). Кроме того, в июле оказался скомпрометированным портал государственных услуг Российской Федерации (gosuslugi.ru), на страницы которого неизвестные внедрили потенциально опасный код. Эта уязвимость вскоре была устранена администрацией портала.
Неспокойным выдался 2017 год и для владельцев мобильных устройств, работающих под управлением ОС Google Android. Летом вирусные аналитики «Доктор Веб» исследовали многофункционального банковского Android-троянца, получавшего контроль над устройством и кравшего конфиденциальную информацию клиентов кредитно-финансовых организаций. Вскоре в каталоге Google Play была выявлена игра со встроенным троянцем-загрузчиком, которую скачали более миллиона пользователей. В течение года специалисты «Доктор Веб» обнаруживали Android-троянцев, предустановленных в заводские прошивки мобильных устройств, а также множество других вредоносных и потенциально опасных программ для этой платформы.
Троянцы-энкодеры, шифрующие файлы и требующие выкуп за их восстановление, обычно распространялись либо под видом тех или иных «полезных» утилит, либо с использованием вредоносных рассылок. При этом чаще всего злоумышленники вкладывали в письма не сам шифровальщик, а небольшого троянца-загрузчика, который при попытке открыть вложение скачивал и запускал энкодер. В то же время черви, способные самостоятельно распространяться по сети, ранее не использовались для шифрования файлов, а имели совсем другие вредоносные функции — одного из представителей этого класса вредоносных программ специалисты «Доктор Веб» исследовали в начале минувшего года. Первым шифровальщиком, сочетающим в себе возможности энкодера и сетевого червя, стал Trojan.Encoder.11432, получивший известность под именем WannaCry.
Массовое распространение этой вредоносной программы началось в 10 утра 12 мая 2017 года. Чтобы заразить другие компьютеры, червь использовал уязвимость в протоколе SMB (MS17-10), при этом опасности подвергались как узлы локальной сети, так и компьютеры в Интернете со случайными IP-адресами. Червь состоял из нескольких компонентов, и шифровальщик являлся только одним из них.
Trojan.Encoder.11432 шифровал файлы с использованием случайного ключа, при этом в составе троянца имелся специальный модуль-декодер, позволявший расшифровать несколько файлов бесплатно в демонстрационном режиме. Примечательно, что эти выбранные случайным образом файлы шифровались при помощи совершенно другого ключа, поэтому их восстановление не гарантировало успешной расшифровки остальных данных. Подробное исследование этого энкодера было опубликовано на нашем сайте в мае 2017 года.
Вскоре разразилась еще одна эпидемия червя-шифровальщика, которого различные источники называли NePetya, Petya.A, ExPetya и WannaCry-2 (подобные наименования он получил благодаря мнимой схожести с ранее распространявшимся троянцем Petya — Trojan.Ransom.369). В вирусные базы Dr.Web NePetya был добавлен под именем Trojan.Encoder.12544.
Как и его предшественник WannaCry, червь-шифровальщик Trojan.Encoder.12544 использовал для своего распространения уязвимость в протоколе SMB, однако в этом случае достаточно быстро удалось установить первоначальный источник распространения червя. Им оказался модуль обновления программы M.E.Doc, предназначенной для ведения налоговой отчетности на территории Украины. Именно поэтому украинские пользователи и организации стали первыми жертвами Trojan.Encoder.12544. Специалисты «Доктор Веб» подробно исследовали программу M.E.Doc и установили, что один из ее компонентов содержит полноценный бэкдор, который способен собирать логины и пароли для доступа к почтовым серверам, загружать и запускать на компьютере любые приложения, выполнять в системе произвольные команды, а также передавать файлы с компьютера на удаленный сервер. Этим бэкдором и воспользовался NePetya, а до него — как минимум еще один троянец-шифровальщик.
Исследование Trojan.Encoder.12544 показало, что этот энкодер изначально не предполагал возможности расшифровки поврежденных файлов. Вместе с тем он обладал достаточно богатым арсеналом вредоносных функций. Для перехвата учетных данных пользователей Windows он использовал утилиты Mimikatz и при помощи этой информации (а также несколькими другими способами) распространялся по локальной сети. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 задействовал программу для управления удаленным компьютером PsExec или стандартную консольную утилиту для вызова объектов Wmic.exe. Кроме того, шифровальщик портил загрузочную запись диска С: (Volume Boot Record, VBR) и подменял оригинальную загрузочную запись Windows (MBR) собственной, при этом исходная MBR шифровалась и переносилась в другой сектор диска.
В июне компания «Доктор Веб» опубликовала подробное исследование червя-шифровальщика Trojan.Encoder.12544.
В октябре было зафиксировано распространение еще одного червя-энкодера, получившего наименование Trojan.BadRabbit. Известные образцы троянца распространялись в виде программы со значком установщика Adobe Flash. Архитектурно BadRabbit был похож на своих предшественников: он так же состоял из нескольких компонентов: дроппера, энкодера и сетевого червя, тоже содержал встроенный расшифровщик, более того, часть его кода была явно позаимствована у Trojan.Encoder.12544. Однако этот шифровальщик отличался одной примечательной чертой: при запуске он проверял наличие на атакуемом компьютере двух антивирусов — Dr.Web и McAfee — и в случае их обнаружения пропускал первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.
С более подробной информацией об этой вредоносной программе можно ознакомиться в опубликованной компанией «Доктор Веб» обзорной статье.
Согласно сведениям, полученным с использованием серверов статистики «Доктор Веб», в 2017 году на компьютерах пользователей чаще всего выявлялись сценарии и вредоносные программы, предназначенные для загрузки из Интернета других троянцев, а также для установки опасных и нежелательных приложений. По сравнению с прошлым годом из этой статистики практически исчезли рекламные троянцы.
Схожая картина наблюдается и в анализе почтового трафика, однако здесь помимо загрузчиков встречаются также троянцы, предназначенные для хищения паролей и другой конфиденциальной информации.
2017 год можно смело назвать годом червей-энкодеров: именно в уходящем году шифровальщики научились массово распространяться по сети без участия пользователей, став причиной нескольких эпидемий. За прошедшие 12 месяцев в службу технической поддержки компании «Доктор Веб» обратились в общей сложности порядка 18 500 пользователей, пострадавших от действий шифровальщиков. Начиная с мая количество запросов постепенно снижалось, уменьшившись к концу года по сравнению с его началом более чем вдвое.
Согласно статистике, чаще всего в 2017 году на компьютеры проникал троянец Trojan.Encoder.858, второе место занимает Trojan.Encoder.3953, третьим по «популярности» является энкодер Trojan.Encoder.567.
Наиболее распространенные шифровальщики в 2017 году:
Как и в прошлом году, в течение прошедших 12 месяцев было выявлено довольно много троянцев для ОС семейства Linux, при этом вирусописатели создавали версии опасных приложений для таких аппаратных архитектур как х86, ARM, MIPS, MIPSEL, PowerPC, Superh, Motorola 68000, SPARC — то есть, для очень широкого диапазона «умных» устройств. Среди них — всевозможные роутеры, телевизионные приставки, сетевые накопители и т.д. Объясняется такой интерес тем, что многие пользователи подобной аппаратуры не задумываются над необходимостью смены установленных по умолчанию учетных данных администратора системы, что заметно упрощает задачу злоумышленникам.
Уже в январе 2017 года вирусные аналитики «Доктор Веб» обнаружили несколько тысяч инфицированных устройств, зараженных троянцем Linux.Proxy.10. Эта вредоносная программа предназначена для запуска на зараженном устройстве SOCKS5-прокси-сервера, с использованием которого злоумышленники могут обеспечить себе анонимность в Интернете. Месяц спустя был выявлен Trojan.Mirai.1 — Windows-троянец, способный заражать устройства под управлением Linux.
В мае специалисты «Доктор Веб» исследовали новую модификацию сложного многокомпонентного троянца для ОС Linux, принадлежащего к семейству Linux.LuaBot. Эта вредоносная программа представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» устройств.
В июле вирусные базы Dr.Web пополнились записью для троянца Linux.MulDrop.14, который устанавливал на инфицированном устройстве приложение для добычи криптовалют. Тогда же вирусные аналитики исследовали вредоносную программу Linux.ProxyM, запускающего на зараженном устройстве прокси-сервер. Атаки с применением этого троянца фиксировались начиная с февраля 2017 года, но пика достигли во второй половине мая. Больше всего источников атак располагалось в России, на втором и третьем месте – Китай и Тайвань.
Вскоре злоумышленники начали использовать Linux.ProxyM для рассылки спама и фишинговых писем, в частности от имени сервиса DocuSign, предназначенного для работы с электронными документами. Специалистам «Доктор Веб» удалось установить, что киберпреступники отправляли порядка 400 спам-сообщений в сутки с каждого инфицированного устройства. Осенью 2017 года злоумышленники нашли для Linux.ProxyM еще одно применение: с помощью этого троянца они начали взламывать сайты. Использовалось несколько методов взлома: SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий удаленно читать файлы на атакуемом сервере. График количества зафиксированных атак этого троянца представлен ниже.
Также в ноябре был обнаружен новый бэкдор для Linux, получивший наименование Linux.BackDoor.Hook.1. Он может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу.
Число угроз для ОС Linux постепенно растет, и есть основания полагать, что эта тенденция продолжится и в следующем году.
В течение года вирусные базы Dr.Web пополнились записями для целого ряда семейств вредоносных программ, способных инфицировать устройства Apple: это Mac.Pwnet, Mac.BackDoor.Dok, Mac.BackDoor.Rifer, Mac.BackDoor.Kirino и Mac.BackDoor.MacSpy. Одна из обнаруженных в 2017 году вредоносных программ — Mac.BackDoor.Systemd.1 — представляет собой бэкдор, способный выполнять следующие команды:
Более подробные сведения об этом троянце изложены в опубликованной на сайте компании «Доктор Веб» статье.
Специалисты «Доктор Веб» регулярно добавляют в базы Родительского (Офисного) контроля адреса потенциально опасных и нерекомендуемых веб-сайтов. К таковым относятся мошеннические, фишинговые ресурсы и сайты, распространяющие вредоносное ПО. Динамика пополнения этих баз в 2017 году показана на следующей диаграмме.
Интернет-мошенничество — весьма распространенное явление, и год от года сетевые жулики расширяют арсенал методик обмана доверчивых пользователей. В одной из весьма популярных мошеннических схем в 2017 году использовались так называемые «договорные матчи». Киберпреступники создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Этой весной жулики усовершенствовали схему: они предлагали потенциальным жертвам скачать защищенный паролем самораспаковывающийся RAR-архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным. Однако вместо архива с сайта мошенников скачивалась созданная ими программа, внешне неотличимая от самораспаковывающегося архива WinRAR. Этот поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом (на самом деле он будет сгенерирован троянцем на основе шаблона).
В минувшем году киберпреступники пытались обмануть не только простых пользователей, но и владельцев веб-сайтов. Жулики рассылали им письма якобы от имени компании «Яндекс», по всей видимости позаимствовав адреса получателей из баз данных регистраторов доменов. В своем послании мошенники от имени «Яндекса» предлагали владельцу сайта повысить его позиции в поисковой выдаче. Для этих целей они создали более 500 веб-страниц, ссылки на которые сотрудники «Доктор Веб» добавили в базы нерекомендуемых сайтов.
Киберпреступники рассылали мошеннические письма не только от имени «Яндекса», но и от лица регистратора доменов «RU-Center». Ссылаясь на некие изменения в правилах ICANN, злоумышленники предлагали администраторам домена создать в корневой директории сайта php-файл определенного содержания, якобы с целью подтвердить право использования этого домена получателем сообщения. Файл, который предлагали сохранить в корневой папке сайта злоумышленники, содержал команду, способную выполнить заданный в переменной произвольный код.
Другая популярная методика обмана — обещание выплат крупных сумм, за вывод которых преступники просят жертву перевести им небольшой взнос. Компания «Доктор Веб» сообщала о подобной схеме, в которой для проверки якобы причитающихся пользователю страховых премий на мошенническом сайте требовалось указать номер страхового свидетельства СНИЛС или паспортные данные.
Можно предположить, что сетевые мошенники будут и дальше изобретать новые методики незаконного заработка, основанного на обмане.
Мобильные устройства по-прежнему остаются привлекательной мишенью для киберпреступников, поэтому неудивительно, что 2017 год был вновь отмечен появлением большого числа вредоносных и нежелательных программ. Среди основных целей злоумышленников снова стало незаконное обогащение, а также кража персональной информации.
Как и ранее, одну из основных угроз представляли банковские троянцы, с помощью которых вирусописатели получали доступ к счетам клиентов кредитных организаций и незаметно крали с них деньги. Среди таких вредоносных приложений стоит отметить Android.Banker.202.origin, который был встроен в безобидные программы и распространялся через каталог Google Play. Android.Banker.202.origin интересен своей многоступенчатой схемой атаки. При запуске он извлекал скрытого внутри него троянца Android.Banker.1426, который скачивал еще одну вредоносную программу-банкер. Именно она похищала логины, пароли и другую конфиденциальную информацию, необходимую для доступа к счетам пользователей.
Похожий банкер получил имя Android.BankBot.233.origin. Он извлекал из своих ресурсов и незаметно устанавливал троянца Android.BankBot.234.origin, который охотился за информацией о банковских картах. Эта вредоносная программа отслеживала запуск приложения «Play Маркет» и показывала поверх него мошенническую форму, в которой запрашивала соответствующие данные. Особенность Android.BankBot.233.origin заключалась в том, что он пытался получить доступ к специальным возможностям (Accessibility Service) зараженных устройств. С их помощью он начинал полностью контролировать смартфоны и планшеты и управлял их функциями. Именно благодаря доступу к специальному режиму работы операционной системы Android.BankBot.233.origin скрытно ставил второго троянца.
Android.BankBot.211.origin – еще один опасный банкер, который также использовал специальные возможности ОС Android. Троянец самостоятельно назначал себя администратором устройства и менеджером СМС по умолчанию. Кроме того, он мог фиксировать все происходящее на экране и делал скриншоты при каждом нажатии клавиатуры. Также Android.BankBot.211.origin показывал фишинговые окна для кражи логинов и паролей и передавал злоумышленникам другие секретные сведения.
Применение специальных возможностей ОС Android вредоносными программами сделало их намного более опасными и стало одним из основных этапов эволюции Android-троянцев в 2017 году.
По-прежнему актуальными оставались троянцы, которые без ведома пользователей скачивали и запускали различные приложения. Одним из них был найденный в январе Android.Skyfin.1.origin, внедрявшийся в процесс программы Play Маркет и загружавший ПО из Google Play. Android.Skyfin.1.origin накручивал счетчик установок в каталоге и искусственно увеличивал популярность приложений. А в июле вирусные аналитики «Доктор Веб» выявили и исследовали троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек сразу нескольких моделей мобильных Android-устройств. Этот троянец внедрялся в процессы всех работающих программ и мог незаметно загружать и запускать другие вредоносные модули, заданные в команде управляющего сервера. Вирусописатели начали применять подобный механизм заражения процессов еще в 2016 году, и специалисты «Доктор Веб» ожидали, что киберпреступники продолжат использовать этот вектор атак.
В 2017 году владельцы Android-смартфонов и планшетов вновь столкнулись с рекламными троянцами. Среди них был Android.MobiDash.44, который распространялся через каталог Google Play под видом приложений-руководств к популярным играм. Этот троянец показывал навязчивую рекламу и мог загружать дополнительные вредоносные компоненты. Кроме того, были выявлены и новые нежелательные рекламные модули, один из которых получил наименование Adware.Cootek.1.origin. Он был встроен в популярное приложение-клавиатуру и также распространялся через каталог Google Play. Adware.Cootek.1.origin показывал объявления и различные баннеры.
Серьезную опасность для пользователей мобильных устройств в 2017 году вновь представляли троянцы-вымогатели. Эти вредоносные приложения блокируют экран зараженных смартфонов и планшетов и требуют выкуп за разблокировку. При этом суммы, которые интересуют вирусописателей, могут доходить до нескольких сотен и даже тысяч долларов. На протяжении последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали троянцев такого типа на устройствах пользователей более 177 000 раз.
Среди выявленных в прошлом году Android-вымогателей был Android.Locker.387.origin, скрывавшийся в приложении для оптимизации работы и «восстановления» аккумулятора. Другой Android-локер, получивший имя Android.Encoder.3.origin, не только блокировал экран атакуемых устройств, но и шифровал файлы. А троянец Android.Banker.184.origin помимо шифрования менял пароль разблокировки экрана.
В 2017 году немало угроз встречалось и в каталоге Google Play. В апреле в нем был найден троянец Android.BankBot.180.origin, который крал логины и пароли для доступа к банковским учетным записям и перехватывал СМС с проверочными кодами. Позднее был выявлен троянец Android.Dvmap.1.origin, пытавшийся получить root-доступ для незаметной установки вредоносного компонента Android.Dvmap.2.origin. Он скачивал другие модули троянца.
В начале июля вирусные аналитики «Доктор Веб» обнаружили в Google Play вредоносную программу Android.DownLoader.558.origin, которая незаметно загружала и запускала дополнительные компоненты. В этом же месяце в каталоге был найден троянец Android.RemoteCode.85.origin, скачивавший вредоносный плагин, который похищал СМС-сообщения.
Осенью специалисты по информационной безопасности нашли в Google Play троянца Android.SockBot.5, который превращал зараженные смартфоны и планшеты в прокси-серверы. А позднее в каталоге был обнаружен загрузчик, которой скачивал и предлагал пользователям установить различные программы. Это троянец получил имя Android.DownLoader.658.origin. Кроме того, среди выявленных в Google Play вредоносных приложений была и потенциально опасная программа Program.PWS.1, о которой компания «Доктор Веб» рассказала в одной из своих публикаций. Это приложение позволяло получить доступ к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники», однако не шифровало передаваемые данные, включая логины и пароли.
В минувшем году злоумышленники также атаковали владельцев мобильных Android-устройств с использованием троянцев-шпионов. Среди этих вредоносных программ были троянцы Android.Chrysaor.1.origin и Android.Chrysaor.2.origin, а также Android.Lipizzan.2, которые крали переписку в популярных программах для онлайн-общения, похищали СМС-сообщения, отслеживали координаты зараженных устройств и передавали киберпреступникам другие секретные сведения. Еще одна вредоносная программа-шпион получила имя Android.Spy.377.origin. Она принимала команды по протоколу Telegram и обладала широким функционалом. Например, троянец мог отправлять СМС с заданным текстом на нужные вирусописателям номера, собирал сведения обо всех доступных файлах и по указанию злоумышленников отправлял любой из них на управляющий сервер. Кроме того, Android.Spy.377.origin мог совершать телефонные звонки и отслеживать местоположение смартфонов и планшетов.
Среди обнаруженных вредоносных программ для мобильных устройств были и новые троянцы-майнеры – например, Android.CoinMine.3, который добывал криптовалюту Monero.
Как и ранее, в наступающем году наибольшую опасность для пользователей будут представлять энкодеры и банковские троянцы. Можно ожидать появления новых червей-шифровальщиков, использующих для своего распространения ошибки и уязвимости в операционной системе и сетевых протоколах.
С высокой долей вероятности будет расти количество и ассортимент угроз для «умных» устройств, работающих под управлением операционной системы Linux. Число моделей таких устройств постепенно растет, а в сочетании с их невысокой стоимостью «Интернет вещей» неизбежно будет привлекателен не только для простых пользователей, но и для киберпреступников.
По всей видимости, в 2018 году не уменьшится количество вредоносных программ для платформы Android – по крайней мере, тенденций к снижению активности «мобильных» вирусописателей в настоящее время не наблюдается. Несмотря на все предпринимаемые меры защиты, троянцы для Android-смартфонов и планшетов будут появляться в каталоге Google Play, а также в заводской прошивке некоторых устройств. Наибольшую опасность для пользователей будут представлять мобильные банковские троянцы, способные похищать средства непосредственно со счетов в кредитных финансовых организациях, а также блокировщики и шифровальщики.
Среди троянцев-загрузчиков, распространяющихся во вредоносных рассылках, наверняка будут преобладать небольшие по объему сценарии, написанные с использованием синтаксиса VBScript, Java Script, Power Shell. Уже сейчас подобных скриптов, обнаруживаемых в сообщениях электронной почты антивирусными продуктами Dr.Web, достаточно много. Будут появляться новые способы добычи криптовалют без явного согласия пользователей. Одно можно утверждать со всей определенностью: в 2018 году угроз информационной безопасности точно не станет меньше.
|
|
«Доктор Веб»: обзор вирусной активности в декабре 2017 года |
29 декабря 2017 года
Последний месяц уходящего года запомнится специалистам по информационной безопасности появлением нового бэкдора для компьютеров и устройств, работающих под управлением Microsoft Windows. Также в декабре вирусные аналитики «Доктор Веб» установили, что злоумышленники стали взламывать веб-сайты с использованием Linux-троянца Linux.ProxyM. Кроме того, в течение месяца вирусные базы Dr.Web пополнились записями для новых вредоносных программ, ориентированных на мобильную платформу Android.
В декабре вирусные аналитики исследовали очередного представителя семейства троянцев Anunak, способных выполнять на зараженном компьютере команды злоумышленников. Новый бэкдор рассчитан на работу в 64-разрядных версиях Windows и получил наименование BackDoor.Anunak.142. Троянец может выполнять на зараженном компьютере следующие действия:
Подробнее об этой вредоносной программе рассказано в новостном материале, опубликованном на нашем сайте.
В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение декабря 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 241 274 интернет-адреса
| ноябрь 2017 | декабрь 2017 | Динамика |
|---|---|---|
| +331 895 | +241 274 | -27,3% |
Троянец Linux.ProxyM известен вирусным аналитикам еще с мая 2017 года. Это довольно-таки простая вредоносная программа, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С ее помощью злоумышленники рассылали до 400 спам-сообщений с каждого зараженного узла, а вскоре стали распространять фишинговые письма, в частности от имени сервиса DocuSign, позволяющего работать с электронными документами. Таким образом киберпреступники собирали учетные данные его пользователей.
В декабре, используя для анонимности реализованный в троянце прокси-сервер, злоумышленники стали предпринимать многочисленные попытки взлома веб-сайтов. Для этого использовались SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специально сформированных команд. Подробности об этом инциденте рассказаны в опубликованном нами новостном материале.
В декабре в каталоге Google Play были выявлены банковские троянцы Android.BankBot.243.origin и Android.BankBot.255.origin, которые похищали логины и пароли для доступа к учетным записям клиентов кредитных организаций. Кроме того, похожий троянец распространялся и вне официального каталога ПО мобильной платформы Android. Он получил имя Android.Packed.15893. Также в декабре в вирусную базу Dr.Web был добавлена вредоносная программа Android.Spy.410.origin, которая шпионила за итальянскими пользователями.
Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.
|
|
«Доктор Веб» исследовал новый бэкдор для Windows |
22 декабря 2017 года
Троянец, получивший имя BackDoor.Anunak.142, обменивается информацией со своим управляющим сервером, формируя зашифрованные пакеты. При этом заголовок каждого пакета и блок передаваемых данных шифруются по отдельности. Эта версия бэкдора способна заражать устройства, работающие под управлением 64-разрядных версий Windows. Существует и 32-разрядная модификация данного троянца – она получила порядковый номер 124.
BackDoor.Anunak.142 может выполнять на зараженном устройстве следующие действия:
Запись для BackDoor.Anunak.142 добавлена в вирусные базы Dr.Web, поэтому троянец не представляет опасности для наших пользователей.
| Подробнее о троянце |
|
|
«Доктор Веб» предупреждает: злоумышленники взламывают сайты с помощью «Интернета вещей» |
7 декабря 2017 года
Linux.ProxyM — это вредоносная программа для ОС семейства Linux, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С его помощью киберпреступники могут анонимно совершать различные деструктивные действия. Известны сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Это означает, что Linux.ProxyM может заразить практически любое устройство под управлением Linux, включая роутеры, телевизионные приставки и другое подобное оборудование.
В сентябре аналитикам «Доктор Веб» стало известно, что злоумышленники рассылали с использованием Linux.ProxyM более 400 спам-сообщений в сутки с каждого инфицированного устройства. Письма рекламировали ресурсы «для взрослых» и сомнительные финансовые услуги. Вскоре киберпреступники стали использовать «Интернет вещей» для распространения фишинговых сообщений. Подобные послания отправлялись якобы от имени DocuSign — сервиса, позволяющего загружать, просматривать, подписывать и отслеживать статус электронных документов.
Если пользователь переходил по ссылке в письме, он попадал на поддельный сайт DocuSign с формой авторизации. После ввода пароля жертва мошенников перенаправлялась на настоящую страницу авторизации DocuSign, а содержимое фишинговой формы отправлялось злоумышленникам.
В декабре киберпреступники нашли новое применение зараженным Linux.ProxyM устройствам: используя реализованный в троянце прокси-сервер для сохранения анонимности, они стали предпринимать многочисленные попытки взлома веб-сайтов. Злоумышленники используют несколько различных методов взлома: это SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI). Этот вид атаки позволяет злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специальным образом сформированных команд. Среди подвергшихся атакам веб-сайтов замечены игровые серверы, форумы, а также ресурсы другой тематической направленности, в том числе российские.
Специалисты «Доктор Веб» продолжают следить за активностью ботнета Linux.ProxyM. График количества зафиксированных атак этого троянца представлен ниже.
Несмотря на то, что в Linux.ProxyM реализована всего лишь одна функция – прокси-сервер, – злоумышленники находят новые возможности его использования в своей противозаконной деятельности и проявляют все более настойчивый интерес к «Интернету вещей».
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в ноябре 2017 года |
30 ноября 2017 года
В ноябре в каталоге Google Play было найдено множество вредоносных приложений.
В начале месяца в нем был обнаружен троянец-майнер, использовавший вычислительные мощности мобильных устройств для добычи криптовалюты. Позже специалисты по информационной безопасности выявили СМС-троянцев, подписывавших пользователей на платные услуги. В середине ноября вирусные аналитики «Доктор Веб» обнаружили вредоносную программу, которая скачивала и запускала дополнительные троянские модули. Эти модули загружали веб-сайты и переходили по расположенным на них рекламным ссылкам и баннерам. Кроме того, в Google Play распространялся троянец, предназначенный для загрузки различных приложений. Помимо этого в каталоге были найдены Android-банкеры, которые крали конфиденциальные сведения пользователей и похищали деньги с их счетов.
В ноябре вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play 9 программ, в которые был встроен троянец Android.RemoteCode.106.origin. В общей сложности эти приложения были загружены не менее 2 370 000 раз. После запуска Android.RemoteCode.106.origin скачивает и запускает дополнительные вредоносные модули. Они используются для автоматического открытия заданных управляющим сервером веб-страниц и нажатия на расположенные на них рекламные баннеры и ссылки. Подробнее об Android.RemoteCode.106.origin рассказано в публикации, размещенной на сайте компании «Доктор Веб».
В начале ноября в каталоге Google Play был выявлен троянец Android.CoinMine.3, который использовал вычислительные мощности Android-смартфонов и планшетов для добычи криптовалюты Monero. Эта вредоносная программа скрывалась в приложении под названием XCOOEEP, предназначенном для доступа к онлайн-чату Club Cooee.
Android.CoinMine.3 загружал в невидимом окне WebView веб-сайт с расположенным на нем скриптом для майнинга, который запускался автоматически. В результате интенсивной работы процессора при добыче криптовалюты зараженное мобильное устройство могло снизить свою производительность и нагреться, а его аккумулятор – разряжаться быстрее.
Среди распространявшихся через Google Play вредоносных приложений, выявленных в прошедшем месяце, оказалось несколько СМС-троянцев. Они были встроены в приложения Secret Notepad, Delicate Keyblard и Super Emotion, детектируемые Dr.Web как Android.SmsSend.23371, Android.SmsSend.23373 и Android.SmsSend.23374. Эти вредоносные программы пытались отправить дорогостоящие СМС и подписать абонентский номер владельца зараженного устройства на ненужные услуги.
В ноябре в каталоге Google Play были обнаружены новые модификации троянца Android.DownLoader.658.origin, который по команде управляющего сервера предлагал владельцам мобильных устройств скачать и установить различные приложения. Кроме того, он мог самостоятельно загружать ПО. Особенности Android.DownLoader.658.origin:
В прошедшем месяце в каталоге Google Play был выявлен троянец Android.Banker.202.origin, который скрывался в безобидных приложениях. После старта он извлекал из своих файловых ресурсов и запускал вредоносную программу Android.Banker.1426. Этот троянец скачивал с управляющего сервера один из Android-банкеров семейства Android.BankBot, предназначенный для кражи логинов, паролей и другой конфиденциальной информации.
Аналогичная схема применялась в ряде троянцев семейства Android.Banker, которые тоже были обнаружены в Google Play в ноябре. Они извлекали и запускали скрытый внутри них вредоносный компонент, который также извлекал из своих файловых ресурсов и запускал другой троянский компонент. Он, в свою очередь, скачивал с удаленного центра и пытался установить одного из банковских троянцев.
Обнаружение большого числа вредоносных приложений в каталоге Google Play говорит о том, что злоумышленники по-прежнему находят способы обхода его защитных механизмов. Чтобы обезопасить мобильные устройства от троянцев и других нежелательных программ, владельцам Android-смартфонов и планшетов необходимо установить антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в ноябре 2017 года |
30 ноября 2017 года
В ноябре специалисты компании «Доктор Веб» исследовали нового представителя семейства банковских троянцев Trojan.Gozi. В отличие от своих предшественников, обновленный троянец полностью состоит из набора модулей, а также лишился механизма генерации имен управляющих серверов: теперь они «зашиты» в конфигурации вредоносной программы.
Также в ноябре был обнаружен новый бэкдор для ОС семейства Linux и выявлено несколько мошеннических сайтов, выманивающих у доверчивых пользователей Интернета деньги от имени несуществующего общественного фонда.
Семейство банковских троянцев Gozi хорошо знакомо вирусным аналитикам — один из его представителей запомнился тем, что использовал в качестве словаря для генерации адресов управляющих серверов текстовый файл, скачанный с сервера NASA. Новая версия банковского троянца, получившая наименование Trojan.Gozi.64, может заражать компьютеры под управлением 32- и 64-разрядных версий Microsoft Windows 7 и выше, в более ранних версиях этой ОС вредоносная программа не запускается.
Основное предназначение Trojan.Gozi.64 заключается в выполнении веб-инжектов, то есть он может встраивать в просматриваемые пользователем веб-страницы постороннее содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент.
При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована.
Более подробную информацию о функциях, принципах работы и возможностях Trojan.Gozi.64 вы можете получить, ознакомившись с опубликованной на нашем сайте статьей.
В ноябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение ноября 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 331 895 интернет-адресов.
| октябрь 2017 | ноябрь 2017 | Динамика |
|---|---|---|
| +256 429 | +331 895 | +29.4% |
В ноябре компания «Доктор Веб» рассказала о новом виде мошенничества, получившем распространение в российском сегменте Интернета. Злоумышленники рассылали спам со ссылкой на сайт, якобы принадлежащий некоему «Межрегиональному общественному фонду развития». Ссылаясь на несуществующее постановление Правительства РФ, мошенники предлагали посетителям проверить якобы причитающиеся им выплаты от различных страховых компаний по номеру пенсионного страхового свидетельства (СНИЛС) или паспорта. Независимо от того, какие данные введет жертва (это может быть даже произвольная последовательность цифр), она получит сообщение о том, что ей положены страховые выплаты на достаточно крупную сумму, — несколько сотен тысяч рублей, однако для вывода этих «накоплений» жулики требовали оплатить денежный взнос.
На серверах, где размещаются веб-страницы «Межрегионального общественного фонда развития», вирусные аналитики обнаружили множество других мошеннических проектов. Подробнее об этом рассказано в опубликованной на сайте «Доктор Веб» обзорной статье.
В конце последнего осеннего месяца вирусные аналитики «Доктор Веб» исследовали новый бэкдор для Linux, получивший название Linux.BackDoor.Hook.1. Троянец может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу. О других особенностях этой вредоносной программы мы рассказали в посвященном Linux.BackDoor.Hook.1 новостном материале.
В ноябре вирусные аналитики «Доктор Веб» выявили в каталоге Google Play троянца Android.RemoteCode.106.origin, скачивающего дополнительные вредоносные модули. Они загружали веб-сайты и нажимали на расположенные на них рекламные ссылки и баннеры. Кроме того, в каталоге были обнаружены вредоносные программы семейства Android.SmsSend, которые отправляли дорогостоящие СМС. Также в прошедшем месяце в Google Play распространялся троянец Android.CoinMine.3, использовавший зараженные смартфоны и планшеты для добычи криптовалюты Monero. Помимо этого в официальном каталоге Android-приложений было найдено большое число банковских троянцев семейства Android.Banker, предназначенных для кражи конфиденциальных данных и хищения денег со счетов владельцев Android-устройств.
Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:
Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.
|
|
«Доктор Веб» исследовал нового банковского троянца |
24 ноября 2017 года
Новый банковский троянец, получивший наименование Trojan.Gozi.64, основывается на исходном коде предшествующих версий Trojan.Gozi, который уже долгое время находится в свободном доступе. Как и другие представители этого семейства, Trojan.Gozi.64 может заражать компьютеры под управлением 32- и 64-разрядных версий Windows. Троянец имеет модульную архитектуру, но, в отличие от предыдущих модификаций, он полностью состоит из отдельных загружаемых плагинов. Также Trojan.Gozi.64 не имеет алгоритмов для генерации имен управляющих серверов — их адреса «зашиты» в его конфигурации, в то время как одна из первых версий Gozi использовала в качестве словаря текстовый файл, загружаемый с сервера NASA.
Создатели троянца заложили в него ограничение, благодаря которому он способен работать с операционными системами Microsoft Windows 7 и выше, в более ранних версиях Windows вредоносная программа не запускается. Дополнительные модули скачиваются с управляющего сервера специальной библиотекой-лоадером, при этом протокол обмена данными использует шифрование. Лоадер Trojan.Gozi.64 может выполнять на зараженной машине следующие вредоносные функции:
Для осуществления веб-инжектов в каждом браузере Trojan.Gozi.64 использует собственный настраиваемый плагин. В настоящий момент вирусным аналитикам известны плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, троянец получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате Trojan.Gozi.64 может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована.
Помимо этого на зараженный компьютер могут быть загружены и установлены дополнительные модули – в частности, плагин, фиксирующий нажатие пользователем клавиш (кейлоггер), модуль для удаленного доступа к инфицированной машине (VNC), компонент SOCKS-proxy-сервера, плагин для хищения учетных данных из почтовых клиентов и некоторые другие.
Банковский троянец Trojan.Gozi.64 не представляет опасности для пользователей антивирусных продуктов Dr.Web, поскольку сигнатуры вредоносной программы и ее модулей добавлены в вирусные базы.
| Подробнее о троянце |
#банкер #банковский_троянец #онлайн-банкинг #троянец
|
|
«Доктор Веб» обнаружил новый бэкдор для Linux |
20 ноября 2017 года
Троянец, получивший наименование Linux.BackDoor.Hook.1, был обнаружен вирусными аналитиками в библиотеке libz, которая используется некоторыми программами для функций сжатия и распаковки. Он работает только с бинарными файлами, обеспечивающими обмен данными по протоколу SSH. Весьма необычен способ подключения злоумышленников к бэкдору: в отличие от других похожих программ, Linux.BackDoor.Hook.1 вместо текущего открытого сокета использует первый открытый сокет из 1024, а остальные 1023 закрывает.
Бэкдор Linux.BackDoor.Hook.1 может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу. Этот троянец не представляет опасности для наших пользователей – его сигнатура добавлена в базы Антивируса Dr.Web для Linux.
#Linux #бэкдор #троянец|
|
«Доктор Веб» обнаружил в Google Play приложения с троянцем, которые загрузили более 2 000 000 пользователей |
13 ноября 2017 года
Специалисты «Доктор Веб» выявили Android.RemoteCode.106.origin в 9 программах, которые в общей сложности загрузили от 2 370 000 до более чем 11 700 000 пользователей. Троянец был найден в следующих приложениях:
Наши аналитики проинформировали компанию Google о наличии Android.RemoteCode.106.origin в обнаруженных приложениях. На момент публикации этого материала часть из них уже была обновлена, и троянец в них отсутствовал. Тем не менее, оставшиеся программы по-прежнему содержат вредоносный компонент и все еще представляют опасность.
Перед началом вредоносной активности Android.RemoteCode.106.origin выполняет ряд проверок. Если на зараженном мобильном устройстве отсутствует определенное количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троянец никак себя не проявляет. В случае же выполнения заданных условий он отправляет запрос на управляющий сервер и пытается перейти по ссылке, полученной в ответном сообщении. В случае успеха Android.RemoteCode.106.origin задействует свой основной функционал.
Троянец загружает с управляющего сервера список модулей, которые ему необходимо запустить. Один из них был добавлен в вирусную базу Dr.Web как Android.Click.200.origin. Он автоматически открывает в браузере веб-сайт, адрес которого ему передает командный центр. Эта функция может использоваться для накрутки счетчика посещений интернет-ресурсов, а также проведения фишинг-атак, если троянец получит задание открыть мошенническую веб-страницу.
Второй троянский модуль, получивший имя Android.Click.199.origin, обеспечивает работу третьего компонента, внесенного в вирусную базу как Android.Click.201.origin. Основная задача Android.Click.199.origin – загрузка, запуск и обновление модуля Android.Click.201.origin.
Android.Click.201.origin, в свою очередь, после старта соединяется с управляющим сервером, от которого получает задания. В них указываются адреса веб-сайтов, которые троянец затем открывает в невидимом для пользователя окне WebView. После перехода по одному из целевых адресов Android.Click.201.origin самостоятельно нажимает на указанный в команде рекламный баннер или случайный элемент открытой страницы. Он повторяет эти действия до тех пор, пока не достигнет заданного числа нажатий.
Таким образом, основное предназначение троянца Android.RemoteCode.106.origin – загрузка и запуск дополнительных вредоносных модулей, которые используются для накрутки счетчика посещений веб-сайтов, а также перехода по рекламным объявлениям, за что злоумышленники получают вознаграждение. Кроме того, вредоносная программа может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.
Антивирусные продукты Dr.Web для Android успешно детектируют все приложения, содержащие троянца Android.RemoteCode.106.origin, а также его вспомогательные модули, поэтому эти вредоносные программы опасности для наших пользователей не представляют. При обнаружении ПО, в которое встроен Android.RemoteCode.106.origin, владельцам Android-смартфонов и планшетов рекомендуется либо его удалить, либо проверить доступность обновленных версий без троянского функционала.
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в октябре 2017 года |
27 октября 2017 года
В октябре в каталоге Google Play был обнаружен очередной Android-троянец, встроенный в безобидные приложения. Он позволял злоумышленникам использовать зараженные мобильные устройства в качестве прокси-серверов. Кроме того, в прошедшем месяце широкую известность получил троянец-вымогатель, который шифровал файлы на Android-смартфонах и планшетах, менял пароль разблокировки экрана и требовал выкуп.
В октябре в каталоге Google Play был выявлен троянец Android.SockBot.5, который был добавлен в вирусную базу Dr.Web еще в июне 2017 года. Злоумышленники встроили его в следующие приложения:
Эти программы позволяли изменять внешний вид персонажей в мобильной версии популярной игры Minecraft.
После запуска троянец незаметно подключался к удаленному командному центру и устанавливал соединение с заданным сетевым адресом, используя протокол SOCKS. В результате киберпреступники превращали смартфоны и планшеты в прокси-серверы и могли пропускать через них сетевой трафик.
В прошедшем месяце в СМИ появилась информация о распространении опасного троянца-вымогателя для ОС Android, который изменял PIN-код разблокировки экрана смартфонов и планшетов, шифровал файлы пользователя и требовал выкуп за восстановление работоспособности устройства. Эта вредоносная программа была добавлена в вирусную базу Dr.Web как Android.Banker.184.origin еще в августе 2017 года, поэтому она не представляла опасности для наших пользователей.
После запуска троянец пытается получить доступ к специальным возможностям (Accessibility Service), с использованием которых самостоятельно добавляет себя в список администраторов устройства. Затем он изменяет PIN-код разблокировки экрана, шифрует доступные пользовательские файлы (фотографии, видео, документы, музыку и т. д.) и демонстрирует сообщение с требованием оплаты выкупа. При этом существуют версии вредоносной программы, которые не шифруют файлы размером больше 10 Мбайт.
Несмотря на то что функционал Android.Banker.184.origin в некоторых публикациях называется уникальным, другие троянцы ранее уже использовали аналогичные возможности. Еще в 2014 году компания «Доктор Веб» обнаружила Android-вымогателя Android.Locker.38.origin, который устанавливал собственный код на разблокировку экрана. В том же году появился и первый троянец-энкодер для ОС Android, получивший имя Android.Locker.2.origin. Выполнение же вредоносных действий с использованием функций Accessibility Service (таких, как автоматическое добавление вредоносного приложения в список администраторов) также уже применялось в Android-троянцах, например в Android.BankBot.211.origin.
Злоумышленники по-прежнему пытаются распространять троянцев через официальный каталог Android-приложений Google Play и продолжают совершенствовать вредоносные программы. Для защиты мобильных устройств от потенциального заражения владельцам смартфонов и планшетов необходимо использовать антивирусные продукты Dr.Web для Android.
|
|
«Доктор Веб»: обзор вирусной активности в октябре 2017 года |
27 октября 2017 года
Октябрь 2017 года запомнится не только специалистам по информационной безопасности, но и всем пользователям Интернета появлением нового червя-шифровальщика, получившего имя Trojan.BadRabbit. Этот троянец начал распространяться 24 октября, атаке подверглись в основном компьютеры на территории России и Украины.
В октябре вирусные аналитики «Доктор Веб» исследовали бэкдор, написанный на языке Python. Эта вредоносная программа умеет красть информацию из популярных браузеров, фиксировать нажатия клавиш, скачивать и сохранять на зараженном компьютере различные файлы, а также выполнять ряд других вредоносных функций.
Кроме того, специалисты исследовали новую версию Linux-троянца, способного заражать различные «умные» устройства.
Как и ее предшественники, вредоносная программа Trojan.BadRabbit представляет собой червя, способного к самостоятельному распространению без участия пользователя и состоящего из нескольких компонентов: дроппера, шифровальщика-расшифровщика и собственно червя-энкодера. Часть кода этого червя позаимствована у троянца Trojan.Encoder.12544, также известного под именем NotPetya. При запуске энкодер проверяет наличие файла C:\Windows\cscc.dat и, если такой существует, прекращает свою работу (в связи с этим создание файла cscc.dat в папке C:\Windows может предотвратить вредоносные последствия запуска троянца).
По мнению некоторых исследователей, источником заражения Trojan.BadRabbit стал ряд скомпрометированных веб-сайтов, в HTML-код которых был внедрен вредоносный сценарий на языке JavaScript. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В результате работы троянца на экране зараженного компьютера демонстрируется требование выкупа в криптовалюте Bitcoin, а на сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении которых сумма выкупа будет увеличена.
В настоящее время исследования Trojan.BadRabbit продолжаются, однако Антивирус Dr.Web успешно определяет и удаляет эту вредоносную программу. Кроме того, анализ троянца показал, что он проверяет присутствие в системе антивирусов Dr.Web и McAfee. При обнаружении нашего продукта Trojan.BadRabbit пропускает этап шифрования в пользовательском режиме, однако пытается запустить полное шифрование диска после перезагрузки системы. Эта функция вредоносной программы блокируется Антивирусом Dr.Web, таким образом, от действия шифровальщика не пострадают пользователи Антивируса Dr.Web версии 9.1 и выше и Dr.Web KATANA, при условии что они не меняли настройки превентивной защиты и не отключили ее.
В октябре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение октября 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 256 429 интернет-адресов.
| Сентябрь 2017 | Октябрь 2017 | Динамика |
|---|---|---|
| + 298 324 | + 256 429 | -14,0% |
В октябре вирусные аналитики «Доктор Веб» исследовали троянца, способного заражать «умные» устройства под управление ОС Linux. Вредоносная программа получила наименование Linux.IotReapper. Это очередная модификация уже давно известного специалистам Linux.Mirai. Вместо перебора логинов и паролей по словарю для взлома устройств Linux.IotReapper запускает эксплойты и проверяет результат их выполнения. Затем троянец ожидает получения команд от управляющего сервера. Он может скачивать и запускать на инфицированном устройстве различные приложения, а также содержит два модуля: интерпретатор Lua и сервер, работающий на порту 8888, который также может выполнять различные команды. Троянец Linux.IotReapper успешно детектируется Антивирусом Dr.Web для Linux.
В середине месяца вирусные базы Dr.Web пополнились записью Python.BackDoor.33, с использованием которой детектируется бэкдор, написанный на языке Python. Эта вредоносная программа обладает способностью к самораспространению: после установки на инфицированном устройстве и его перезагрузки Python.BackDoor.33 пытается заразить все подключенные к устройству накопители с именами от C до Z. Затем троянец определяет IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:
При определенных условиях Python.BackDoor.33 скачивает с управляющего сервера и запускает на инфицированном устройстве сценарий на языке Python, в котором реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Этот сценарий позволяет выполнять на зараженной машине следующие действия:
Более подробная информация о Python.BackDoor.33 изложена в размещенной на нашем сайте обзорной статье.
В октябре в средствах массовой информации появились сообщения об обнаружении опасного троянца-вымогателя, который детектируется антивирусом Dr.Web как Android.Banker.184.origin. Эта вредоносная программа, известная вирусным аналитикам «Доктор Веб» с августа 2017 года, изменяет PIN-код разблокировки экрана зараженных Android-смартфонов и планшетов, шифрует файлы и требует выкуп за восстановление работоспособности устройств. Кроме того, в прошедшем месяце в каталоге Google Play был найден троянец Android.SockBot.5, позволявший киберпреступникам использовать мобильные устройства в качестве прокси-серверов.
Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:
Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.
|
|
BadRabbit боится компьютеров с Dr.Web: исследование нашумевшего троянца |
26 октября 2017 года
Червь Trojan.BadRabbit состоит как минимум из трех компонентов: дроппера, червя-энкодера и шифровальщика дисков, способного также выполнять функции расшифровщика. После запуска дроппер, имеющиеся образцы которого представлены в виде исполняемого файла со значком установщика Adobe Flash, полностью загружается в память. Затем троянец сохраняет червя-энкодера в файл C:\Windows\infpub.dat и запускает его с помощью системной программы rundll32.exe, а собственный процесс завершает.
Троянец собирает информацию о зараженном компьютере, а также проверяет, не запущены ли на нем процессы двух антивирусных программ: Dr.Web и McAfee (в частности, его интересуют процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe и mcshield.exe). Если такие процессы обнаруживаются, BadRabbit пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения, однако пытается запустить полное шифрование диска после перезагрузки системы. Поскольку современные версии Антивируса Dr.Web не допускают возможности модификации загрузочной записи (MBR), попытка зашифровать диски не увенчается успехом. Таким образом, от действия Trojan.BadRabbit полностью защищены пользователи Антивируса Dr.Web версии 9.1 и выше и Dr.Web KATANA, при условии что они не меняли настройки превентивной защиты и не отключили ее.
Затем шифровальщик дисков проверяет аргументы своего процесса и, если он запущен без аргументов, работает как расшифровщик. Перед началом шифрования Trojan.BadRabbit выполняет ряд подготовительных действий, после чего создает в Планировщике заданий Windows задачу на перезагрузку компьютера через 3 минуты. Далее каждые 30 секунд троянец удаляет старое задание и создает новое, постоянно смещая время, когда должна выполниться задача. Вероятно, сделано это на случай, если пользователь компьютера удалит троянца до того, как шифрование дисков завершится.
Затем BadRabbit формирует пароль для шифрования дисков длиной в 32 символа, записывает информацию о компьютере в специальную структуру, шифрует ее публичным ключом и сохраняет в другой структуре, которая кодируется с использованием алгоритма Base64 и сохраняется в MBR. Алгоритм шифрования диска и загрузчик (бутлоадер) вирусописатели с небольшими изменениями позаимствовали из проекта с открытым исходным кодом Diskcryptor. Троянец ищет первый системный диск и устанавливает туда свой загрузчик. Впоследствии содержимое этого диска шифруется.
Часть кода BadRabbit позаимствована у троянца Trojan.Encoder.12544, также известного под именем NotPetya. При запуске энкодер проверяет наличие файла C:\Windows\cscc.dat и, если такой существует, прекращает свою работу (в связи с этим создание файла cscc.dat в папке C:\Windows может предотвратить вредоносные последствия запуска троянца). Запустившись из памяти зараженного компьютера, червь-энкодер при наличии соответствующих привилегий извлекает один из двух хранящихся в нем драйверов в зависимости от разрядности операционной системы. Эти драйверы позаимствованы из утилиты для шифрования файлов с открытым исходным кодом DiskCryptor.
Для запуска этих драйверов в процессе своей работы BadRabbit пытается зарегистрировать системную службу "cscc" с описанием "Windows Client Side Caching DDriver". Если зарегистрировать эту службу не удалось, он пытается запустить драйвер DiskCryptor с именем "cdfs" путем модификации системного реестра.
Как и Trojan.Encoder.12544, Trojan.BadRabbit использует утилиты Mimikatz для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее со случайным именем в папку C:\Windows, после чего запускает. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию.
Выполнив все предварительные операции, троянец создает задание с именем "drogon" на перезагрузку компьютера. В процессе завершения сессии BadRabbit очищает системные журналы и удаляет ранее созданное задание. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В результате работы троянца на экране зараженного компьютера демонстрируется требование выкупа в криптовалюте Bitcoin, а на сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении которых сумма выкупа будет увеличена.
В настоящее время исследование Trojan.BadRabbit продолжается. Технические подробности о работе этой вредоносной программы опубликованы в нашей вирусной базе знаний.
#Trojan.Encoder #вирус #вымогательство #троянец|
|
Пользователи Dr.Web от "плохого кролика" не пострадали |
25 октября 2017 года
В сети существуют рекомендации по защите от данной угрозы, например, такие:
Некоторые из этих мер могут дать кратковременный эффект, но специалисты "Доктор Веб" не могут рекомендовать ограничиваться подобными средствами при защите от киберугроз. Малейшее изменение во вредоносной программе может привести к тому, что подобные вышеперечисленным меры не дадут никакого эффекта. Таким образом, единственной надёжной рекомендацией может быть использование надёжного антивируса. Актуальная версия Dr.Web защищает от этого вируса.
Подробное описание будет опубликовано по результатам ведущегося сейчас антивирусной лабораторией расследования.
|
|
