Наша взаимовыгодная связь https://banwar.org/
4 серпня 2014 року
Липень 2014 року, як і колишні місяці, був відзначений значним числом інцидентів, пов'язаних з поширенням різних модифікацій троянців-шифрувальників. Крім цього, фахівцями компанії «Доктор Веб» було виявлено безліч загроз для мобільної платформи Google Android і інших шкідливий додатків, орієнтованих на користувачів операційної системи Microsoft Windows.
вірусна обстановка
У липні серед загроз, виявлених з використанням лечащей утиліти Dr.Web CureIt !, як і раніше лідирували рекламні надбудови для популярних браузерів, основне призначення яких полягає в демонстрації користувачеві небажаних банерів в процесі перегляду веб-сторінок. Розширюється і існуючий асортимент подібних додатків: в «топі» присутній близько десяти різних модифікацій таких плагінів, серед них - Trojan.BPlug.100, Trojan.BPlug.48, Trojan.BPlug.46, Trojan.BPlug.102, Trojan.BPlug. 28, Trojan.BPlug.78 , Trojan.BPlug.79 і інші. Всі вони розрізняються в основному особливостями реалізації. За даними сервера статистики Dr.Web, найбільш поширеною загрозою в липні можна вважати троянця - установника небажаних програм Trojan.Packed.24524 : Він виявлявся антивірусним ПЗ Dr.Web на інфікованих комп'ютерах в 0,56% випадків (від загальної кількості виявлених загроз), а з використанням лечащей утиліти Dr.Web CureIt! - в 1,59% випадків. Також лідируючі позиції в своєрідному рейтингу найбільш популярних загроз займають рекламні троянці сімейства Trojan.InstallMonster .
У поштовому трафіку в липні найбільш часто зустрічалися шкідливі програми, що перенаправляють жертву на різні шкідливі сайти, - Trojan.Redirect.195 і Trojan.Redirect.197, а також небезпечний троянець BackDoor.Tishop.122 , Про масову розсилку якого ми повідомляли раніше в одному з новинних матеріалів . Нагадаємо, що основне призначення даної загрози полягає в завантаженні на інфікований комп'ютер інших шкідливих програм, завдяки чому незахищений антивірусом ПК може перетворитися на справжній заповідник для різних троянців і вірусів.
Ситуація, яка стосується відслідковуються фахівцями компанії «Доктор Веб» ботнетів, за минулий місяць кардинально не змінилася: продовжують своє існування бот-мережі, створені зловмисниками з використанням файлового вірусу Win32.Rmnet.12 (Близько 250 000 звернень до керуючих серверів на добу в одній з підмереж), вірусу Win32.Sector (Щодоби активність проявляють близько 65 000 інфікованих вузлів) і шкідливого модуля Trojan.Rmnet.19 (В середньому близько 1 100 щодобових звернень до командних серверів). Бот-мережа, що складається з що працюють під управлінням операційної системи Mac OS X комп'ютерів, заражених троянською програмою BackDoor.Flashback.39 , В даний час налічує близько 14 000 вузлів.
Троянці-енкодери
Шкідливі програми сімейства Trojan.Encoder на сьогоднішній день представляють, мабуть, найбільш актуальну загрозу для користувачів персональних комп'ютерів. Вперше подібного роду троянці були виявлені в 2006-2007 році, коли користувачі несподівано стикалися з тим, що на їх комп'ютерах виявилися зашифрованими важливі файли, за розшифровку яких зловмисники вимагали заплатити викуп. У ті часи подібні інциденти були досить рідкісні, а сам шифрувальник не відрізнявся технологічною досконалістю, тому компанія «Доктор Веб» досить швидко випустила утиліту для розшифровки постраждалих від його дії файлів. Однак вирусописатели почали стрімко модифікувати свої вироби, ускладнюючи алгоритми шифрування і структуру самих енкодерів. Вже до січня 2009 року налічувалося 39 різних модифікацій троянців-шифрувальників, а на сьогоднішній день число їх версій перевалило за кілька сотень.
Троянці-енкодери поширюються різними способами: відомі випадки розсилок таких троянців по електронній пошті, масової відправки посилань на шкідливі інтернет-сайти в соціальних мережах і за допомогою програм обміну повідомленнями (нерідко шкідлива програма викачується на комп'ютер жертви під виглядом кодека, нібито необхідного для перегляду відео ) - іншими словами, зловмисники використовують в своїх цілях всі можливі методи, включаючи технології соціальної інженерії.
Технологічно енкодери розрізняються алгоритмамишифрування призначених для користувача файлів, мовою, на якому вони були написані, але принцип їх дії в цілому однаковий. Запустити на інфікованому комп'ютері, троянець перевіряє наявність зберігаються на дисках файлів - документів, зображень, музики, фільмів, іноді - баз даних і додатків, після чого шифрує їх. Потім шкідлива програма демонструє жертві вимога сплатити розшифровку файлів - воно може бути вміщено на диску у вигляді текстового документа, виконано у вигляді графічного зображення і встановлено в якості шпалер Робочого столу Windows, або збережено у вигляді веб-сторінки і додано в параметри автозавантаження. Для зв'язку зловмисники зазвичай використовують адресу електронної пошти, зареєстрований на одному з безкоштовних публічних сервісів.
Зображення, яке використовується шкідливою програмою Trojan.Encoder.398
На жаль, навіть використання сучасного антивірусного програмного забезпечення не гарантує стовідсоткового захисту від проникнення в систему троянців-енкодерів, оскільки зловмисники регулярно переупаковують і шифрують свої творіння, тому їх сигнатури потрапляють в вірусні бази далеко не відразу. Крім того, сучасні енкодери використовують різні способи генерації ключів шифрування: в деяких випадках вони створюються безпосередньо на інфікованому комп'ютері і передаються на сервер зловмисників, після чого вихідні файли ключів знищуються, іноді навпаки - надходять з віддаленого командного сервера, але найчастіше алгоритм їх генерації залишається невідомим, тому розшифровка файлів (особливо якщо на диску відсутній сам виконуваний файл шкідливої програми) можлива далеко не завжди і не для всіх версій Trojan.Encoder .
У липні 2014 року в службу технічної підтримки компанії «Доктор Веб» звернулося понад 320 користувачів, які постраждали від дій троянців-шифрувальників. Найбільш часто файли виявлялися зашифровані шкідливою програмою сімейства BAT.Encoder - до цієї групи належать троянці, шифрувальні файли за допомогою легітимною криптографічного утиліти GPG з використанням BAT-скриптів. На другому місці за кількістю запитів розташовується Trojan.Encoder.293 - троянець-шифрувальник, написаний на мові Delphi. Ця шкідлива програма виконує шифрування файлів в два етапи: спочатку з використанням алгоритму XOR, потім з використанням алгоритму RSA. Також багато користувачів стали жертвами енкодера Trojan.Encoder.102 , Що є прабатьком Trojan.Encoder.293 . Даний троянець виконує шифрування файлів за допомогою алгоритму RSA, що робить вкрай складною повноцінну розшифровку без закритого ключа. Також, в силу використання в коді троянця 32-бітної змінної, енкодер записує свою інформацію в початок файлів об'ємом вище 4 ГБ, що призводить до їх псування і неможливості відновлення. На представленій нижче діаграмі показані версії троянців-шифрувальників за кількістю звернень до служби технічної підтримки «Доктор Веб» постраждалих від їх дії користувачів в липні 2014 року:
У липні широке поширення отримав шифрувальник Trojan.Encoder.686 , Який фахівці вже назвали однією з найдосконаліших серед подібних програм. Протягом тривалого часу шифрувальник активно заражав комп'ютери російських користувачів, а недавно з'явилися його англомовна версія, так що цільова аудиторія загрози розширюється. Trojan.Encoder.686 використовує вельми стійкий механізм шифрування файлів, який повністю виключає їх розшифровку без наявності ключів. Свою активність на комп'ютері жертви троянець вміло маскує: спочатку він повністю зашифровує файли і лише потім звертається до керуючого сервера зловмисників, щоб переслати дані. цим Trojan.Encoder.686 відрізняється від інших енкодерів, які підтримують зв'язок зі своїм командним центром в ході шифрування. Сам керівник сервер відключити практично неможливо, оскільки він розміщується в анонімній мережі Tor.
Найбільш дієвим способом профілактики і захисту від троянців-шифрувальників є своєчасне резервне копіювання всієї цінної інформації на незалежні носії. Якщо ви стали жертвою подібної шкідливої програми, скористайтеся наступними рекомендаціями:
- зверніться з відповідною заявою в поліцію ( http://legal.drweb.com/templates );
- ні в якому разі не намагайтеся перевстановити операційну систему;
- не видаляйте ніякі файли на вашому комп'ютері;
- не намагайтеся відновити зашифровані файли самостійно;
- зверніться до служби технічної підтримки компанії «Доктор Веб», створивши тікет в категорії «Запит на лікування» (ця послуга безкоштовна і надається користувачам ліцензійних продуктів компанії);
- до тікету прикладіть зашифрований троянцем файл;
- дочекайтеся відповіді вірусного аналітика. У зв'язку з великою кількістю запитів це може зайняти деякий час.
Події та загрози липня
Зловмисники за допомогою троянських програм продовжують методично штурмувати захист банківських операцій, що здійснюються користувачами через Інтернет. У липні експерти оприлюднили результати досліджень банківського троянця Retefe, що поставив під загрозу рахунки клієнтів декількох десятків банків в Швейцарії, Австрії, Німеччини та Японії. Механізм атаки складається з двох етапів. Спочатку жертві по електронній пошті приходить лист з пропозицією встановити програму для оновлення операційної системи Windows, при цьому під виглядом легітимного ПЗ на комп'ютер встановлюється троянець Retefe. Його функціонал дозволяє зловмисникам контролювати інтернет-трафік жертви і обходити засоби захисту від фішингу в браузері. Виконавши необхідні зміни налаштувань на зараженому комп'ютері, Retefe самовидаляється, після чого антивірусними засобами виявити зараження вже неможливо. При виконанні будь-якої операції з використанням онлайн-банкінгу жертва відкриває замість реального сайту банку підроблену веб-сторінку і вводить на ній дані свого облікового запису. Після цього починається наступний етап шахрайства: жертві пропонується завантажити і встановити на свій мобільний телефон додаток, яке нібито генерує паролі для входу в банківський обліковий запис, але в реальності є троянської програмою. Ця програма без відома жертви в фоновому режимі перенаправляє вхідні СМС-повідомлення від банку на сервер зловмисників або підконтрольне їм інший мобільний пристрій. Таким чином шахраї, маючи облікові дані жертви і надсилаються банком СМС з одноразовими паролями, що вводяться при операціях онлайн-банкінгу, отримують повний контроль над банківським рахунком користувача. Різні зразки Retefe детектується антивірусом Dr.Web як Trojan.MulDrop5.9243 , Trojan.PWS.Panda.5676 , Trojan.Siggen6.16706, а його Android-модуль детектується як Android.Banker.11 .origin.
Привабливими цілями для зловмисників залишаються і термінали оплати (POS-термінали). У липні фахівцями з інформаційної безпеки була виявлена бот-мережу, в яку входило близько 5 600 комп'ютерів в 119 країнах. Метою зловмисників було викрадення відомостей про банківські картки. З лютого 2014 року заражені пристрої намагалися отримати віддалений доступ до POS-терміналів, використовуючи техніку підбору паролів. Виявлено п'ять командних серверів даного ботнету, три неактивних знаходяться в Ірані, Німеччині і Росії, два активних (які почали працювати в травні-червні цього року) - також в Росії. Антивірусне ПЗ Dr.Web детектирует призначений для підбору паролів шкідливий модуль як Trojan.RDPBrute.13 .
У липні в черговий раз була поставлена під сумнів невразливість операційної системи Linux. Експертами антивірусних компаній були опубліковані результати аналізу шкідливої програми Linux.Roopre.1, розробленої для атак на веб-сервери під управлінням Linux і Unix. Це багатоцільова модульна програма, яка виконує по команді керівника сервера традиційні шкідливі функції: передачу даних, завантаження іншого ПО, запуск завдань. Отримавши доступ до двох командним серверам, експерти встановили, що троянцем Linux.Roopre.1 було заражено близько 1 400 серверів, більшість яких знаходиться в США, Росії, Німеччині та Канаді.
Мобільні загрози
Для користувачів мобільних Android-пристроїв минулий липень виявився вельми насиченим в плані появи різноманітних вірусних загроз. Наприклад, в середині місяця фахівцями компанії «Доктор Веб» була виявлена небезпечна шкідлива програма Android.BankBot.21 .origin, що краде у російськомовних власників смартфонів і планшетів під управлінням ОС Android відомості про використовувану ними банківській картці. Для цього троянець імітував запит введення аутентифікаційних даних карти, що відображається поверх запущеного додатку Google Play, після чого передавав отриману інформацію зловмисникам. Крім цього, Android.BankBot.21 .origin виробляв крадіжку і інших важливих відомостей, включаючи всі вхідні СМС, а також міг виконати непомітну відправку різних коротких повідомлень по команді кіберзлочинців. Детальніше про цю загрозу розказано у відповідній новинний публікації .
Крім цього в липні вірусна база компанії «Доктор Веб» поповнилася черговою записом для троянця сімейства Android.Locker . Нова шкідлива програма-вимагач, що отримала ім'я Android.Locker.19 .origin, поширювалася серед Android-користувачів із США і при попаданні на мобільний пристрій виробляла його блокування з вимогою викупу. Троянець істотно обмежував роботу зараженого мобільного пристрою і не дозволяв виконувати на ньому будь-які дії, тому позбутися його було вельми проблематично.
Знову під ударом виявилися і південнокорейські користувачі ОС Android: в минулому місяці фахівці компанії «Доктор Веб» було зафіксовано понад 120 випадків спам-розсилок повідомлень, в яких містилося посилання на завантаження Android-троянця. Найбільш розповсюджуваними погрозами в даному випадку стали такі шкідливі програми, як Android.SmsBot.121 .origin, Android.Banker.28 .origin, Android.MulDrop.20 .origin, Android.MulDrop.19 .origin, Android.SmsSpy.65 .origin, Android.SmsSpy.78 .origin і Android.MulDrop.14 .origin.
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
