Записи с меткой «ПК»

Обзор вирусной активности за 2013 год

Posted: Январь 23, 2014 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dr.Web

22 января 2014 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — представляет обзор вирусной активности по итогам минувшего года. 2013 год можно назвать весьма непростым с точки зрения угроз информационной безопасности. Как и в 2012 году, одной из основных тенденций в сфере вирусной активности стало массовое распространение троянцев-шифровальщиков, от действия которых пострадали пользователи во многих странах мира. Заметно выросло число вредоносных программ, предназначенных для демонстрации на компьютерах жертв назойливой рекламы, также в четвертом квартале увеличилось количество троянцев, ориентированных на добычу электронных криптовалют, таких как Bitcoin и Litecoin. Значительно расширился и ассортимент вредоносных программ, угрожающих пользователям мобильной платформы Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в течение года с использованием лечащей утилиты Dr.Web CureIt!, наиболее часто встречающимися угрозами на компьютерах пользователей стали троянцы семейства Trojan.Hosts. Так, самой распространенной вредоносной программой в период с 1 января по 31 декабря 2013 года оказался Trojan.Hosts.6815 — троянец, модифицирующий на инфицированном компьютере системный файл hosts, который отвечает за трансляцию DNS-имен сайтов в их сетевые адреса. В результате при попытке перейти на один из указанных в данном файле сайтов браузер автоматически перенаправляется на специально созданную злоумышленниками веб-страницу. Второе место в годовом рейтинге угроз занимает рекламный троянец Trojan.LoadMoney.1 — это приложение-загрузчик, распространяемый серверами партнерской программы LoadMoney. Данная программа загружает и устанавливает на компьютер жертвы различное нежелательное ПО. На третьем месте по числу выявленных в течение года экземпляров расположился бэкдор BackDoor.IRC.NgrBot.42 — вредоносная программа, хорошо известная специалистам по информационной безопасности еще с 2011 года. Троянцы этого семейства поддерживают связь с удаленным управляющим сервером по протоколу IRC (Internet Relay Chat) и способны выполнять широчайший спектр команд злоумышленников. Деструктивный функционал BackDoor.IRC.NgrBot.42 позволяет уничтожить на инфицированном компьютере загрузочную запись в случае нарушения целостности троянца, также эта вредоносная программа способна блокировать доступ к сайтам антивирусных компаний, перехватывать логины и пароли, используемые для авторизации на различных веб-сайтах. BackDoor.IRC.NgrBot.42 инфицирует все подключенные к компьютеру съемные носители, после этого троянец скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на собственный исполняемый файл. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение.

Двадцатка угроз, наиболее часто встречавшихся на компьютерах пользователей по итогам 2013 года (согласно статистическим данным лучащей утилиты Dr.Web CureIt!), показана в представленной ниже таблице.

Название %
1 Trojan.Hosts.6815 1.74
2 Trojan.LoadMoney.1 1.38
3 BackDoor.IRC.NgrBot.42 1.14
4 Trojan.Mods.2 0.94
5 Trojan.MayachokMEM.4 0.72
6 Trojan.Hosts.6838 0.71
7 Win32.HLLP.Neshta 0.70
8 Trojan.SMSSend.2363 0.69
9 Trojan.Packed.24524 0.64
10 Trojan.Redirect.140 0.64
11 Trojan.Mods.1 0.57
12 Trojan.Packed.24079 0.56
13 Trojan.DownLoader9.19157 0.52
14 Trojan.MayachokMEM.7 0.52
15 Trojan.InstallMonster.38 0.50
16 Win32.HLLW.Gavir.ini 0.47
17 Win32.Sector.22 0.46
18 Trojan.StartPage.48148 0.44
19 Trojan.Zekos 0.43
20 BackDoor.Maxplus.24 0.40

Ботнеты

В течение года специалисты компании «Доктор Веб» отслеживали активность нескольких бот-сетей, организованных злоумышленниками с использованием троянских программ и файловых вирусов. Одна из них во втором полугодии практически прекратила свое существование. В то же самое время отдельные ботнеты все еще не только продолжают действовать, но и активно наращивают свою численность.

Так, вирусные аналитики «Доктор Веб» еще с сентября 2011 года наблюдают за активностью двух бот-сетей, организованных злоумышленниками с использованием многокомпонентного файлового вируса Win32.Rmnet.12. Данный вирус обладает возможностью саморазмножения без участия пользователя. Попав на инфицированный компьютер, он заражает исполняемые файлы, кроме того, он обладает возможностью выполнять поступающие с удаленного сервера команды (в том числе на уничтожение операционной системы), а также осуществлять кражу паролей от популярных FTP-клиентов. Помимо прочего, Win32.Rmnet.12 позволяет злоумышленникам осуществлять так называемые веб-инжекты — встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм.

К концу апреля 2013 года общее количество компьютеров, на которых было когда-либо зафиксировано присутствие файлового вируса Win32.Rmnet.12, составило 9 232 024, увеличившись за первые три месяца на 2,5 млн. Безусловно, определенное число ПК постепенно «излечивалось» от угрозы, однако к ботнету непрерывно присоединялись все новые и новые инфицированные машины. В мае среднее число активно действующих ботов в обеих подсетях Win32.Rmnet.12 составляло 1 078 870 единиц, при этом к ботнету присоединялось в совокупности порядка 25 000 зараженных компьютеров ежесуточно. Динамика прироста численности двух отслеживаемых специалистами «Доктор Веб» подсетей Win32.Rmnet.12 показана на представленных ниже диаграммах.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 1-я подсеть
graph

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в 2013 году, 2-я подсеть
graph

Другая широко распространенная бот-сеть, состоящая из компьютеров, зараженных файловым вирусом Win32.Rmnet.16 — обновленной версией вируса Win32.Rmnet.12 — прекратила свой рост в сентябре 2013 года. Если в декабре 2012 года общая численность данного ботнета составляла 259 458 зараженных ПК, то к 31 декабря 2013 года их количество не превышало 1966, и в настоящий момент оно продолжает постепенно сокращаться.

В мае 2013 года специалистами компании «Доктор Веб» были обнаружены еще два представителя семейства Rmnet — вредоносные модули, распространявшиеся вместе с файловыми вирусами Win32.Rmnet и получившие общее наименование Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, второй позволял отключить ряд установленных на зараженной машине антивирусных программ.

По данным на 22 мая 2013 года вредоносные модули Trojan.Rmnet.19 были обнаружены на 18 000 пользовательских компьютерах, однако численность зараженных машин от месяца к месяцу неуклонно снижалась, пока не достигла значения 5456 инфицированных ПК, при этом количество активно действующих ботов было даже немного ниже указанного значения. Динамику этого процесса иллюстрирует представленная ниже диаграмма.

Динамика изменения численности ботнета Trojan.Rmnet.19 в 2013 году
graph

Не менее интересен и ботнет, состоящий из рабочих станций, зараженных троянцем BackDoor.Bulknet.739. Эта вредоносная программа, предназначенная для массовой рассылки спама, была добавлена в вирусные базы Dr.Web еще в октябре 2012 года. В апреле был зафиксирован пик распространения этого троянца: ежечасно фиксировалось заражение порядка 100 компьютеров, и к концу мая общая численность ботнета превысила 17 000 зараженных ПК. Географически наиболее широкое распространение троянец BackDoor.Bulknet.739 получил на территории Италии, Франции, Турции, США, Мексики и Таиланда. В течение лета количество подключенных к бот-сети инфицированных компьютеров то росло, то снижалось, однако к осени наметилась стойкая тенденция к сокращению числа заражений, и в декабре ботнет практически прекратил свое существование. Данный процесс наглядно продемонстрирован на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Bulknet.739 в 2013 году
graph

Весьма интересен с точки зрения своего функционального назначения ботнет, для формирования которого злоумышленники использовали троянскую программу BackDoor.Dande. Ее особенность заключается в том, что этот бэкдор работает только на компьютерах с установленным специализированным программным обеспечением, предназначенным для закупки медикаментов, которое используют в основном аптеки и фармацевтические компании. К таким приложениям относятся прежде всего программы «Аналит: Фармация» для платформы «1С», «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Троянец предназначен для кражи информации о заказах из этих прикладных программ и ее передачи злоумышленникам.

Несмотря на то, что данная угроза была добавлена в вирусные базы еще в 2011 году, ботнет BackDoor.Dande продолжает успешно действовать до сих пор. Если на начало 2013 года в этой бот-сети насчитывалось в целом порядка 3000 инфицированных машин, то к марту их общее количество достигло уже 3800. Однако в мае численность бот-сети неожиданно сократилась практически вдвое, в течение лета снижалась незначительными темпами и к осени стабилизировалась на отметке около 1000 зараженных ПК. Эти колебания можно проследить на представленном ниже графике.

Динамика изменения численности ботнета BackDoor.Dande в 2013 году
graph

Наконец, следует сказать несколько слов о троянце Backdoor.Flashback.39, способном заражать Apple-совместимые компьютеры, работающие под управлением операционной системы Mac OS X. В 2012 году с помощью этой вредоносной программы злоумышленники создали самую крупную в истории бот-сеть, насчитывавшую более 800 000 зараженных «маков». Тогда новость о серьезной угрозе для компьютеров Apple облетела многочисленные средства массовой информации. Казалось, что пользователи Mac OS X во всем мире как минимум проинформированы о потенциальной опасности, и вскоре на планете не останется ни одного инфицированного Apple-совместимого компьютера. Однако беспечность приверженцев технологий Apple, по всей видимости, отложила свой отпечаток на динамику распространения угрозы: согласно достоверной информации, которой располагают специалисты «Доктор Веб», на конец января 2013 года во всем мире все еще насчитывалось порядка 75 000 зараженных Apple-совместимых компьютеров. Их количество постепенно сокращалось, но все же достаточно медленными темпами: в мае число заражений Backdoor.Flashback.39 составляло порядка 55 000, а в июне снизилось до 45 000 инфицированных машин, затем скорость сокращения бот-сети заметно упала. По данным на 31 декабря 2013 года численность ботнета Backdoor.Flashback.39 составляет 28 829 зараженных Apple-совместимых компьютеров, и он по-прежнему остается крупнейшим в мире.

Динамика изменения численности ботнета Backdoor.Flashback.39 в 2013 году
graph

Троянцы-энкодеры

В 2013 году массовое распространение троянцев семейства Trojan.Encoder, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку, приобрело масштабы самого настоящего бедствия. В течение года вирусные базы Dr.Web пополнились более 200 новыми модификациями энкодеров, а география распространения этих угроз значительно расширилась. Наметились и некоторые изменения в используемых злоумышленниками технологиях: прежде всего, для шифрования файлов стали использоваться более сложные алгоритмы, вследствие чего расшифровать данные, пострадавшие от действия некоторых модификаций Trojan.Encoder, становится невозможно. Кроме того, поиск потенциальных жертв стал вестись более целенаправленно. Например, злоумышленники прикрепляли вредоносные файлы к анкетам соискателей на должность бухгалтера и рассылали такие письма в компании, предлагавшие соответствующие вакансии. В подобных случаях могли быть зашифрованы весьма важные для жертвы файлы, содержащие, например, бухгалтерские расчеты, что повышало для злоумышленников шанс получить выкуп.

Всего в течение 2013 года в компанию «Доктор Веб» обратилось более 6 700 жертв троянцев-шифровальщиков. Помимо российских пользователей, во многих случаях пострадавшими оказывались жители иных стран — преимущественно из Украины, других бывших республик СССР, из США, Италии и стран Латинской Америки, хотя россияне составляли все же подавляющее большинство. Статистика обращений жертв троянцев-энкодеров по странам представлена на следующей диаграмме.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-энкодеров по странам
graph

В среднем специалисты компании ежесуточно обрабатывали от 20 до 35 поступающих заявок на расшифровку файлов. Динамика обращений в службу технической поддержки компании «Доктор Веб» за помощью в расшифровке файлов в период с апреля по декабрь 2013 года показана на представленном ниже графике.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-шифровальщиков в 2013 году
graph

Наиболее распространенными модификациями шифровальщиков в 2013 году стали Trojan.Archivelock, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.293, Trojan.Encoder.225, Trojan.Encoder.263, Trojan.Encoder.145 и Trojan.Encoder.215. Так, наиболее распространенный шифровальщик — Trojan.Encoder.94 — известен специалистам еще с 2010 года. Он шифрует только некоторые типы файлов, расположенных на дисках компьютера, при этом у данного троянца насчитывается самое большое (более 400) количество модификаций. Другой весьма распространенный энкодер, Trojan.Archivelock, стал известен в апреле 2012 года. Его особенность заключается в том, что эта вредоносная программа использует для шифрования файлов стандартный архиватор WinRAR. В целях распространения угрозы злоумышленники применяют метод перебора паролей для доступа к компьютеру жертвы по протоколу RDP. Подключившись к атакуемой рабочей станции, киберпреступники запускают на ней троянца, который помещает пользовательские файлы по заранее составленному списку в защищенные паролем самораспаковывающиеся архивы, а исходные данные уничтожает с помощью специальной утилиты — восстановление удаленных файлов после этого становится невозможным. Среди пострадавших от этой угрозы большое количество составляют жители Испании и Франции.

Trojan.Encoder.102 (более 17% случаев заражения) — также довольно старая вредоносная программа, первые образцы которой известны с 2011 года. Весьма распространенной угрозой является Trojan.Encoder.225 — он может проникнуть на атакуемый компьютер вместе с использующими уязвимость CVE-2012-0158 RTF-файлами, вложенными в сообщения электронной почты. В процессе шифрования файлов троянец пытался выдать себя за обновление Windows, демонстрируя на экране соответствующее окно.

graph

Также в течение года было зафиксировано множество обращений от жертв троянских программ Trojan.Encoder.205 и Trojan.Encoder.215 — в совокупности они составляют более 8% от общего числа инцидентов. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. Обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Наиболее популярные модификации троянцев-шифровальщиков, получившие широкое распространение в 2013 году, представлены на следующей диаграмме.

Наиболее распространенные модификации троянцев-шифровальщиков в 2013 году
graph

Винлоки

Программы-блокировщики, нарушающие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за разблокировку Windows, в 2013 году постепенно утрачивали свою популярность у вирусописателей, окончательно уступив пальму первенства троянцам-шифровальщикам и более «продвинутым» вредоносным программам, подобным представителям семейства Trojan.Mayachok (они блокируют доступ к Интернету с использованием механизма веб-инжектов). Всего в течение минувшего года в службу технической поддержки компании «Доктор Веб» обратились 3087 пользователей, пострадавших от винлоков, что на 71% меньше показателей прошлого года. При этом наибольшее количество запросов пришлось на первое полугодие, а ближе к концу 2013 года их число постепенно снижалось.

Динамика обращений в службу технической поддержки пользователей, пострадавших от действия троянцев-блокировщиков в 2013 году (в процентах от максимального показателя — 633 обращения)
graph

Как и в случае с троянцами-шифровальщиками, большинство пользователей, пострадавших от действия винлоков, проживает на территории России, на втором месте по количеству заражений — Украина, далее следуют Казахстан и Беларусь. Зафиксированы случаи проникновения блокировщиков на компьютеры жителей Франции и других стран Евросоюза.

Статистика обращений в службу технической поддержки компании «Доктор Веб» жертв троянцев-блокировщиков по странам
graph

Дела финансовые

Программное обеспечение, предназначенное для работы с системами дистанционного банковского обслуживания (ДБО) и проведения платежей, — постоянный объект внимания злоумышленников. Помимо распространения ранее известных банковских троянцев, в 2013 году были выявлены и новые угрозы. Так, в течение года продолжились атаки злоумышленников на платежные терминалы. Новый вариант вредоносной программы Trojan.Dexter (известен также под названиями Alina, BlackPOS, Dexter, Vskimmer) нанес многомиллионный ущерб банкам в 40 странах мира. Эта вредоносная программа работает подобно скиммеру — устройству, которое прикрепляется к банкомату и копирует данные магнитного слоя на пластиковой карте. Dexter же делает копию данных не с кардридера, а из памяти торгового терминала (point-of-sale, POS-терминала). Подобным образом были скомпрометированы сотни тысяч кредитных и дебетовых карт.

Осенью 2013 года специалистами компании «Доктор Веб» была обнаружена модификация троянца семейства Trojan.Ibank, представлявшая угрозу для пользователей систем SAP (Systems, Applications and Products), предназначенных для управления внутренними процессами предприятия (бухгалтерским учетом, торговлей, производством, финансами, управлением персоналом, управлением складами и т. д.). Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в ОС. Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

Также в ноябре компания «Доктор Веб» сообщала о зафиксированных случаях распространения банковского троянца BackDoor.Caphaw с использованием массовой рассылки спама через программу Skype. В целях заражения пользовательских компьютеров злоумышленники рассылали Skype-сообщения, используя для этого аккаунты уже инфицированных пользователей. Троянская программа обладает весьма обширным спектром возможностей, например, она отслеживает активность пользователя и пытается определить попытки соединения с различными системами онлайн-банкинга. В случае установки такого соединения BackDoor.Caphaw может внедрять в просматриваемые пользователем веб-страницы постороннее содержимое и перехватывать данные, вводимые им в различные формы.

Тренд сезона — рекламные троянцы и майнеры

В течение 2013 года в числе лидеров среди обнаруживаемых на компьютерах пользователей угроз неизменно встречались троянские программы, предназначенные для демонстрации пользователям различной рекламы. Поскольку значительное число подобных угроз распространяется с использованием партнерских программ, позволяющих злоумышленникам заработать на количестве установок рекламного ПО, их число неуклонно растет. Среди лидеров по количеству обнаружений неизменно присутствует троянец Trojan.LoadMoney.1 — приложение-загрузчик, генерируемое серверами партнерской программы Loadmoney и предназначенное для загрузки и установки на компьютер жертвы различного нежелательного ПО. Другой угрозой, помогающей злоумышленникам заработать на накрутке посещаемости веб-сайтов, стал обнаруженный в начале 2013 года троянец BackDoor.Finder. Основное предназначение этой вредоносной программы — подмена поисковой выдачи: при попытке пользователя зараженной машины обратиться к поиску на google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, www.wiki.com, www.alexa.com или yandex.com вместо веб-страницы с результатами поиска он увидит в окне браузера ссылки на указанные злоумышленниками интернет-ресурсы. Наибольшее распространение BackDoor.Finder получил на территории США, при этом абсолютным лидером по количеству заражений выступает штат Канзас, на втором месте находится Пенсильвания, на третьем — Алабама.

graph

Схожим функционалом обладают еще два обнаруженных в 2013 году троянца — Trojan.Mods.1 и Trojan.Zekos. Основное функциональное назначение Trojan.Mods.1 — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса. В результате деятельности троянца вместо запрашиваемых интернет-ресурсов пользователь перенаправляется на мошеннические страницы. Trojan.Zekos обладает чрезвычайно богатым и развитым вредоносным функционалом. Одна из возможностей данной вредоносной программы — перехват DNS-запросов на инфицированном компьютере для процессов популярных браузеров и демонстрация вместо искомого сайта принадлежащей злоумышленникам веб-страницы. При этом в адресной строке браузера будет демонстрироваться правильный URL. Помимо этого Trojan.Zekos блокирует доступ к интернет-ресурсам большинства антивирусных компаний и серверам Microsoft.

Также к категории рекламных троянцев можно, безусловно, отнести вредоносную программу Trojan.Lyrics — она демонстрирует на экране назойливую рекламу и открывает в окне браузера веб-сайты сомнительного содержания без ведома пользователя. С помощью этой программы меломаны якобы получают возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах или на страницах социальных сетей. Если программа установлена на компьютере пользователя, при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц. Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на нерекомендуемые и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.

screenshot

Не остались в стороне от данных тенденций и пользователи операционной системы Mac OS X — для них злоумышленники разработали вредоносную программу Trojan.Yontoo.1, ориентированную на загрузку и установку модулей расширения для браузеров Safari, Chrome и Firefox. Назначение данных расширений заключается в демонстрации пользователю рекламы при просмотре веб-страниц.

Во второй половине 2013 года активизировались вирусописатели, избравшие для себя в качестве основного способа заработка добычу (майнинг) электронных криптовалют Bitcoin и Litecoin. Первой из таких угроз стал обнаруженный специалистами «Доктор Веб» троянец Trojan.BtcMine.221, распространявшийся с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах, а на самом деле предназначенный для добычи криптовалюты Litecoin (одного из аналогов популярного платежного средства Bitcoin), для чего он использует аппаратные ресурсы компьютера без ведома пользователя. Наибольшее количество инфицированных троянцем Trojan.BtcMine.221 рабочих станций (56 576) расположено на территории США, на втором месте — Бразилия с показателем 31 567 ботов, на третьем — Турция (25 077). Россия с показателем 22 374 зарегистрированных установки занимает четвертое место. Средний ежесуточный доход злоумышленников составил 1 454,53 долл. США. Распространение зараженных компьютеров по странам показано на представленной ниже иллюстрации.

screenshot

Вскоре был обнаружен еще один похожий троянец — Trojan.BtcMine.218. Он запомнился специалистам тем, что в его теле были обнаружены записи, содержащие имена разработчиков данного вредоносного приложения, которые те не удалили, вероятно, по забывчивости. Также в конце года была выявлена очередная модификация вредоносной программы семейства Trojan.Mods, получившая наименование Trojan.Mods.10. Злоумышленники включили в нее модуль, предназначенный для добычи электронной криптовалюты Bitcoin. Основное же предназначение троянца — подмена просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами.

Угрозы для Linux

Минувший год запомнится специалистам по информационной безопасности возросшим числом угроз, направленных на ОС Linux. Наиболее интересной среди них можно назвать троянскую программу Linux.Hanthie, также известную под наименованием Hand of Thief. Злоумышленники, продающие ее на подпольных форумах, позиционируют данного троянца как «бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит)». Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. Linux.Hanthie встраивает в браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Wease специальный граббер, который позволяет перехватывать HTTP- и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также программа реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли Linux следующее сообщение:

screenshot

Другая вредоносная программа, Linux.Sshdkit, предназначена для взлома веб-серверов, работающих под управлением операционной системы Linux. Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Вскоре была обнаружена еще одна модификация данной угрозы — Linux.Sshdkit.6, в ней злоумышленники модифицировали метод определения адресов серверов, на которые троянец передает похищенную информацию с целью затруднить перехват вирусными аналитиками украденных паролей.

Троянец Linux.Fokirtor.1 — бэкдор для GNU/Linux, в мае 2013 года атаковавший серверы внутренней системы одного из крупных хостинг-провайдеров, пытаясь похитить конфиденциальную информацию клиентов. Поскольку целевая система была хорошо защищена, злоумышленники замаскировали бэкдор под серверные процессы (SSH и др.), чтобы скрыть подозрительный сетевой трафик или используемые вредоносные файлы от проверки службой безопасности. Сигнатура данной вредоносной программы также была добавлена в вирусные базы Dr.Web.

Помимо перечисленных выше угроз в 2013 году вирусные базы Dr.Web пополнились записями для нескольких модификаций Linux-троянцев, предназначенных для организации DDoS-атак — это семейство получило общее наименование Linux.DDoS. Кроме того, среди обнаруженных за истекшие 12 месяцев угроз для Linux следует перечислить следующие: Linux.Darlloz — червь, эксплуатирующий уязвимости в PHP, Linux.Cdorked — бэкдор, способный инфицировать веб-серверы, и троянец Linux.Trolomod, предназначенный для атак на http-серверы Apache.

Угрозы для Android

Что же касается мобильных угроз, то в 2013 году, как и в последние несколько лет, наибольшая опасность подстерегала владельцев устройств под управлением ОС Android. За прошедшие 12 месяцев вирусная база компании «Доктор Веб» пополнилась записями для 1547 новых вредоносных, нежелательных и потенциально опасных программ, достигнув объема в 2814 вирусных описаний. Таким образом, с момента появления в 2010 году первых вредоносных Android-приложений, число которых на тот момент насчитывало 30 единиц, их количество увеличилось почти в 94 раза.

Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web за период с 2010 по 2013 год
graph

Традиционно наибольшую угрозу для пользователей составили троянцы, отправляющие дорогостоящие СМС-сообщения и выполняющие подписку на платные услуги. К ним, в частности, относятся вредоносные программы многочисленного семейства Android.SmsSend, присоединившиеся к ним троянцы семейства Android.SmsBot, а также ряд других вредоносных приложений с аналогичными функциями.

Не меньшую опасность представляли Android-угрозы, направленные на кражу конфиденциальной информации пользователей. К таким угрозам, в частности, относятся вредоносные программы семейств Android.Spy и Android.SmsSpy, среди которых присутствует большое число банковских троянцев, способных красть аутентификационные данные, а также СМС-сообщения, в которых могут содержаться разнообразные ценные сведения.

screenshot

screenshot

Весьма показательным в связи с этим является продолжившееся увеличение числа предложений по оказанию различных незаконных услуг и сервисов, таких как создание и продажа вредоносных Android-приложений: к популярным и распространенным на черном рынке СМС-троянцам киберпреступники добавили и троянцев-шпионов, способных добавить хлопот многим пользователям.

screenshot

По сравнению с предыдущим годом, в пять раз выросло количество поддельных антивирусных приложений Android.Fakealert, которые обнаруживают на мобильных устройствах несуществующие угрозы и за определенную плату предлагают их владельцам произвести лечение.

screenshot screenshot

Кроме того, в минувшем году было обнаружено несколько уязвимостей ОС Android, использование которых могло способствовать распространению различных вредоносных приложений. Среди троянцев, в которых злоумышленниками были успешно применены найденные программные ошибки, — Android.Nimefas.1.origin, представлявший комплексную угрозу, а также троянец-шпион Android.Spy.40.origin.

Более подробно об этих и других угрозах можно ознакомиться в соответствующем обзоре мобильных угроз, опубликованном на сайте компании «Доктор Веб».

Сетевые мошенничества

Не дремлют и сетевые мошенники, различными способами выманивающие средства у пользователей Интернета. Киберпреступники в своих схемах монетизации часто используют социальную инженерию и иные приемы психологического воздействия на людей, попавших в стесненные жизненные обстоятельства (например, ищущих работу из-за недостатка финансовых средств либо по другой причине). Так, одним из весьма распространенных способов сетевого мошенничества в 2013 году стал обман пользователей сайтов, содействующих в трудоустройстве. Злоумышленники регистрируются на сайтах служб занятости (hh.ru, superjob.ru и т. п.) в качестве работодателей, получая при этом доступ к контактным данным потенциальных жертв, после чего отправляют им сообщения электронной почты с предложением вакансии от лица крупной российской или иностранной фирмы и ссылкой якобы на сайт работодателя. В письме злоумышленники указывают высокую сумму предлагаемого оклада с расчетом привлечь адресата на мошеннический сайт и втянуть в ложное анкетирование, на одном из этапов которого ему предлагают ввести в специальную форму номер мобильного телефона, а затем — полученный в ответном СМС-сообщении подтверждающий код. Отослав такое СМС, пользователь становится жертвой мошенничества: он оказывается подписанным на некую псевдоуслугу, а со счета его мобильного телефона будут регулярно сниматься денежные средства.

screenshot

В 2013 году сетевые жулики принялись строить самые настоящие мошеннические порталы с широчайшим спектром предложений. При каждой перезагрузке такого сайта в окне браузера демонстрируется новая веб-страница, рекламирующая очередную псевдоуслугу. Среди них — чудесное избавление от варикоза путем прослушивания аудиокурса, отбеливание зубов при помощи медитаций, «проверенные» методы избавления от прыщей, тысяча способов увеличения объема губ или груди без хирургического вмешательства, курс для девушек по соблазнению мужчин и, конечно же, дистанционная помощь женщинам, которым не удается завести ребенка. Следует отметить, что если большинство описанных выше «курсов» встречались нашим специалистам и раньше, то предложения забеременеть путем прослушивания компакт-диска появились в ассортименте сетевых жуликов относительно недавно.

screenshot

Еще одна тенденция 2013 года — появление в сети большого числа интернет-ресурсов, предлагающих лечение тяжелых заболеваний, таких как туберкулез, при помощи сушеных медведок — насекомых из отряда прямокрылых. Создатели подобных сайтов продают медведок оптом, причем по весьма внушительной цене — стоимость полного курса «лечения» может достигать 250 тысяч руб.

Получили широкое распространение и вполне традиционные методы сетевого мошенничества, например реклама всевозможных магических обрядов, для проведения которых доверчивым пользователям предлагается приобрести различные артефакты, в частности «волшебные свечи», «в которые специальным образом введены Энергии Любви, Гармонии, Счастья», или «цилиндры фараона», якобы созданные российскими учеными на основе древнеегипетских рукописей, чудом сохранившихся до наших дней. Кроме того, мошенники разработали несколько веб-страниц, предлагавших посетителям «скачать» излучение различных лекарств из специального «информационного центра», после чего доверчивым пользователям предлагалось дождаться окончания процесса записи «целебного излучения» на компакт-диск.

screenshot

Активно действовали сетевые мошенники и на различных сайтах знакомств. Представляясь иностранцами, киберпреступники ищут одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы. За сайтами подобных служб обычно скрываются мошеннические веб-страницы: жертве сообщают, что отправитель не оплатил стоимость доставки посылки до получателя — эту сумму злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screenshot

Специалисты компании «Доктор Веб» призывают пользователей быть внимательнее, относиться с опаской к подозрительным предложениям, а также не доверять случайным знакомым в Интернете. Не следует вводить на подозрительных веб-сайтах номер телефона и подтверждающие коды, полученные в СМС-сообщениях. Сетевые мошенники обладают богатой фантазией, поэтому осторожность и здоровая подозрительность никогда не повредят.

Перспективы

Исходя из текущей ситуации, складывающейся в сфере информационной безопасности, можно предположить, что в 2014 году продолжится значительный рост количества угроз для мобильной платформы Android. В сентябре 2013 года специалистами компании «Доктор Веб» был обнаружен крупнейший в истории ботнет, состоящий из зараженных несколькими модификациями троянца Android.SmsSend мобильных устройств. Имеются достаточные основания считать, что этот ботнет был далеко не последним в истории, и возникновение новых мобильных бот-сетей — дело времени.

Появление в публичном доступе специальных программ-конструкторов, позволяющих даже неискушенным в программировании злоумышленникам создавать новые модификации троянцев-шифровальщиков, наверняка повлечет за собой рост количества заражений этими вредоносными программами. Вполне вероятно и заметное расширение географии распространения троянцев-энкодеров.

Одновременно с постепенным ростом ассортимента анонимных платежных систем, использующих в своей основе аналогичные Bitcoin криптовалюты, будут множиться и разновидности троянцев, использующих для их добычи аппаратные ресурсы компьютеров жертв. По всей видимости, злоумышленники будут все чаще задействовать для обеспечения связи вредоносных программ с управляющими серверами ресурсы сети Tor, а также возможности P2P-сетей. Заметно вырастет и количество рекламных троянцев, в том числе реализованных в виде надстроек к популярным браузерам.

Реклама

https://i2.wp.com/upload.wikimedia.org/wikipedia/commons/5/5c/Kaspersky_Lab_-_IFA_2012.jpg

Решения «Лаборатории Касперского» для защиты домашних пользователей, корпоративных клиентов и малого бизнеса — Kaspersky Internet Security, Kaspersky Security для бизнеса и Kaspersky Small Office Security — показали лучшие результаты в заключительном в 2013 году квартальном тестировании, проведенном независимой лабораторией Dennis Technology Labs в период с октября по декабрь.

По итогам всех испытаний решение для защиты пользователей Windows Kaspersky Internet Security, входящее в состав комплексного продукта Kaspersky Internet Security для всех устройств, набрало 1030 баллов из 1048 возможных и заняло первое место, опередив восемь конкурентов. Продукт защитил тестовую систему от 99 образцов вредоносного ПО из 100. Кроме того, решение «Лаборатории Касперского» не допустило ложных срабатываний в соответствующей группе тестов и набрало максимальные 740 баллов при среднем результате остальных участников в 662 балла.

В свою очередь, Kaspersky Small Office Security и Kaspersky Security для бизнеса также обошли конкурентов в соответствующих категориях. В обоих случаях продукты «Лаборатории Касперского» справились с 99 угрозами из 100 и также не допустили ложных срабатываний. По итогам тестирования решения набрали по 1029 баллов из 1048 возможных — такого результата не удалось достигнуть ни одному другому участнику.

Лидерство продуктов «Лаборатории Касперского» в каждой из трех категорий обеспечило им высший рейтинг Dennis Technology Labs — AAA.

«Тестирование в течение длительного времени — например, в течение квартала, как в данном случае, — с использованием самых актуальных образцов вредоносного ПО позволяет получить объективные результаты о защитных свойствах решений. Передовые технологии «Лаборатории Касперского» в очередной раз подтвердили свою эффективность в борьбе с киберугрозами как на домашних, так и на корпоративных компьютерах, а также свою надежность для разных категорий пользователей», — заявил Олег Ишанов, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».

Продукты «Лаборатории Касперского» постоянно участвуют в независимых тестированиях и регулярно становятся их победителями. В декабре прошлого года Kaspersky Internet Security лучше всех конкурентов справился с угрозами, актуальными для домашнего пользователя, в испытаниях AV-Comparatives. А еще раньше, в ноябре, лаборатория AV-TEST назвала Kaspersky Security для бизнеса лучшим продуктом для защиты корпоративных ПК.

Подробная информация об используемой методике и продемонстрированных в тестах результатах доступна на сайте Dennis Technology Labs: www.dennistechnologylabs.com/reports/s/a-m/2013/.

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

ПОЧЕМУ?

Почему Майкрософт прекращает поддержку Windows XP SP3 и Office 2003?

В 2002 г. Майкрософт впервые представила политику, согласно которой устанавливаются сроки поддержки. Согласно этой политике, гарантированная поддержка продуктов Майкрософт для бизнеса и разработчиков, в том числе Windows и Office, предоставляется не менее 10 лет (5 лет основной и 5 лет расширенной поддержки для соответствующего уровня пакетов обновления).

Но, чтобы ИТ-решения приносили компании реальную выгоду, одной поддержки недостаточно: необходимы инновационные возможности. Сегодня большинство пользователей ожидает от продуктов таких возможностей, появление которых в далеком 2001 году мог предсказать далеко не каждый. Кроме того, число пользователей старых версий сокращается, поэтому 8 апреля 2014 г . поддержка Windows XP и Office 2003 будет окончательно прекращена.

Основываясь на собранных среди клиентов данных внедрения, средний цикл развертывания этих продуктов может занимать от 18 до 32 месяцев. Чтобы быть уверенными, что вы используете поддерживаемые версии Windows и Office, необходимо начать планирование и миграцию уже сейчас.

Скачайте отчет IDC, посвященный миграционным рискам «Почему оставаться на Windows XP – это плохая идея»

Что окончание поддержки значит для пользователей?

ЧТО?

Что означает для заказчиков прекращение поддержки?

Это означает, что настало время действовать. После 8 апреля 2014 г. перестанут быть доступны новые обновления безопасности, исправления, не связанные с безопасностью, любые (платные и бесплатные) услуги поддержки и обновления технической документации в Интернете.

Продолжение работы с неподдерживаемым может вызвать следующие риски для вашей компании:

  • Безопасность
    • Используя неподдерживаемое ПО, вы не сможете получать общедоступную поддержку от Майкрософт, в том числе новые обновления безопасности и другие важные исправления. В результате ваша система может стать объектом атак, которые подвергают риску данные вашей компании и ваших клиентов.

Сокращение поддержки от производителей оборудования и независимых поставщиков программных продуктов. В недавнем отраслевом отчете Gartner Research говорится, что «в 2011 г. многие независимые поставщики программных продуктов прекратят поддержку новых версий приложений на базе Windows XP, а в 2012 г. это станет общей тенденцией». Неподдерживаемая версия Windows может стать помехой и в том случае, если вы захотите обновить оборудование: в отчете Gartner Research также отмечается, что в 2012 г. значительная часть поставщиков вычислительной техники прекратит поддержку Windows XP на большинстве своих новых моделей ПК. См.отчет «Создание графика развертывания Windows 7 и вывода из эксплуатации Windows XP с пакетом обновления 3 (SP3)».

Установка актуальных версий ПО: Windows 7 и Office 2010 . Ваши сотрудники, работая в более гибкой среде, смогут повысить свою производительность, а ваша организация увеличит эксплуатационную эффективность благодаря улучшениям в области безопасности и управления ПК. Подробнее об этих возможностях можно узнать на веб-сайте Windows 7 для бизнеса .

Чтобы начать внедрение современных технологий уже сегодня, скачайте Microsoft Deployment Toolkit. Скачать бесплатно .

Как Майкрософт поможет клиентам?

КАК?

Как Майкрософт поможет заказчикам в этой ситуации?

Корпоративные заказчики. Крупным организациям Майкрософт предлагает подробную техническую документацию, инструменты и рекомендации экспертов, которые помогут упростить развертывание и управление Windows 7, Internet Explorer 9 и Office 2010. Дополнительные сведения о программах миграции и развертывания можно узнать у своего представителя Майкрософт или партнера со статусом Microsoft Certified Partner.

Малый и средний бизнес. Небольшим и средним компаниям, планирующим перейти на современные ПК с новейшим ПО для повышения производительности и совместной работы, также предлагается несколько вариантов перехода. Прежде всего, следует обратиться к партнеру со статусом Microsoft Certified Partner, чтобы подобрать оптимальный вариант, наиболее полно отвечающий потребностям вашей компании. Если вы планируете приобрести новые компьютеры с выпуском Windows Профессиональная, выберите один из предложенных на веб-сайте вариантов.

Чтобы узнать, как самостоятельно произвести пилотное и окончательное развертывание современных ПК, скачайте бесплатный инструмент Microsoft Deployment Toolkit и посетите веб-сайт Springboard Series на портале TechNet, где можно найти дополнительные технические рекомендации.

Производители устройств (ОЕМ-производители). Производителям специализированных компьютерных устройств, таких как тонкие клиенты, киоски по приему платежей, кассы, банкоматы, цифровые информационные табло и т.п. рекомендуется использовать продукты линейки Windows Embedded, обладающие расширенным сроком поддержки и доступности. Подробнее.

ИСТОЧНИК

 

20 ноября 2012 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с троянцем Trojan.Winlock.7372, о распространении которого мы сообщали ранее, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

screen

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

screen

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразным функционалом.

ИСТОЧНИК

«Дыры» в вашем ПК: TOP 5 уязвимых приложений при работе в Сети

В настоящее время большинство атак через Интернет осуществляется с
помощью эксплойтов. Залог их успешного действия — наличие
уязвимостей в популярных программах, таких как операционные системы,
браузеры, офисные пакеты, музыкальные проигрыватели и т.д., которые
используются как «дыры» для проникновения зловредов в ПК
пользователей.

«Лаборатория Касперского» выявила пять основных типов
уязвимых приложений, на которые нацелены эксплойты. По результатам
исследования вирусной активности в третьем квартале 2012 года, более чем
в 50% атак были использованы бреши в Java. Обновления этого ПО
устанавливаются по запросу пользователя, а не автоматически, что
увеличивает время жизни уязвимости. Эксплойты к Java достаточно легко
использовать под любой версией Windows, а при некоторых доработках
злоумышленников, как это было в случае с Flashfake, эксплойт может стать
кроссплатформенным. Этим и объясняется особый интерес киберпреступников
к java-уязвимостям.

На втором месте атаки через Adobe Reader, которые составили четверть
всех отраженных атак. Постепенно популярность эксплойтов к этому
приложению уменьшается, что связано с достаточно простым механизмом их
детектирования и автоматическими обновлениями, введёнными в последних
версиях продуктов. Около 3% атак пришлось на эксплойты к уязвимости в
Windows Help and Support Center, а также на различные уязвимости в
браузере Internet Explorer.

Ошибки в проигрывателе Flash-файлов являются объектом пристального
изучения злоумышленников не первый год. Согласно данным системы
Kaspersky Security Network за третий квартал 2012 года, в десятке
наиболее часто встречающихся уязвимостей оказалось два
«представителя» Adobe Flash. Пятерку замыкают эксплойты для
устройств под управлением Android OS. Основная их цель — незаметно
сделать «джейлбрейк» и предоставить любым программам, в том
числе и вредоносным, полный доступ к памяти и функциям телефона или
планшета.

«Интернет сегодня среда весьма «агрессивная».
Зараженным может оказаться практически любой сайт, и в результате
посетители, у которых есть уязвимые приложения, становятся жертвами
злоумышленников, — комментирует ведущий антивирусный эксперт
«Лаборатории Касперского» Юрий Наместников. — Главная
цель вирусописателей — это электронные счета или конфиденциальные
данные пользователей, которые в конечном счете дают киберпреступникам
возможность обналичить деньги. Поэтому злоумышленники используют все
имеющиеся в их арсенале методы, чтобы доставить вредоносную программу на
компьютер пользователя, и применение эксплойтов в этом случае один из
самых популярных способов». Приложения, уязвимости в которых
использовали веб-эксплойты Третий квартал 2012

«Мы советуем пользователям следить за обновлением установленных
программ и использовать современные средства защиты от экплойтов, такие
как, например, «Автоматическая защита от эксплойтов» в наших
новых пользовательских продуктах», — добавляет Юрий
Наместников.

Новая технология «Автоматическая защита от эксплойтов»
реализована в пользовательских продуктах Kaspersky Internet Security и
Антивирус Касперского и предназначена для предотвращения и блокирования
действий программ-эксплойтов, которая включает в себя:
* контроль
запуска исполняемых файлов из приложений (в т.ч. веб-браузеров), в
которых найдены какие-либо уязвимости, или из приложений, не
предназначенных для запуска исполняемых файлов (Microsoft Word, Excel и
др.);
* в случае запуска исполняемых файлов осуществляется проверка их
действий на сходство с поведением эксплойтов;
* контроль действий
приложения, в котором найдена уязвимость (переход по ссылке, запись в
память других процессов и др.)

Для обеспечения максимально эффективной защиты вся информация (список
приложений с обнаруженными уязвимостями, контроль запуска исполняемых
файлов из приложений) является обновляемой.

ИСТОЧНИК

Новый таргетированный бэкдор для Мака

«Лаборатория Касперского» сообщает об обнаружении
(http://www.securelist.com/ru/blog/207764062/Novyy_variant_bekdora_dlya_MacOS_X_primenyaemyy_v_APT_atakakh)
новой вредоносной программы, предназначенной для заражения компьютеров,
работающих под управлением операционной системы Mac OS X. Бэкдор
OSX.MaControl.b был использован, для проведения целенаправленной атаки
на группу уйгурских активистов, которые используют компьютеры Apple.
Троянец распространялся через электронную почту в виде заархивированного
вложения.

https://i2.wp.com/www.kaspersky.ru/images/news/mac123.png

(http://www.kaspersky.ru/images/news/mac123.png)

Вложенный ZIP-файл, содержащий фото
в формате JPG и вредоносное приложение для Mac OS X

Архив содержал фото в формате JPG и вредоносное приложение для Mac OS X.
Для того чтобы пользователь запустил исполняемый файл, хранящийся в
архиве с фотографией, злоумышленники использовали методы социальной
инженерии. После запуска бэкдор устанавливался в Mac-систему и
связывался с командным сервером для получения дальнейших инструкций. По
запросу вредоносная программа пересылала злоумышленникам списки
находящихся на компьютере жертвы файлов, при необходимости, сами файлы,
а также позволяла выполнять команды.

Проанализировав вредоносную программу, эксперты «Лаборатории
Касперского» пришли к выводу, что она представляет собой новую
версию бэкдора MaControl, а сервер, с которого осуществляется управление
троянцем, находится в Китае. В антивирусной базе «Лаборатории
Касперского» зловред имеет название Backdoor.OSX.MaControl.b.

«Многие пользователи отдают предпочтение компьютерам компании
Apple, потому что считают их более безопасными, — комментирует
результаты исследования нового Mac-троянца, руководитель центра
глобальных исследований и анализа угроз «Лаборатории
Касперского» Костин Райю (Raiu Costin). — Однако мы видим,
что рост популярности операционной системы Mac OS X приводит к
увеличению количества направленных на нее как массовых, так и
таргетированных атак. Злоумышленники будут продолжать совершенствовать
свои методы заражения пользователей, используя сочетание уязвимостей и
социальной инженерии, как сейчас это происходит с ПК».

Это далеко не первый случай выявления «Лабораторией
Касперского» целенаправленных атак на пользователей
Mac-компьютеров. В апреле этого года эксперты обнаружили
(http://www.kaspersky.ru/news?id=207733745) вредоносную программу SabPub
(http://www.securelist.com/ru/blog/207763949/SabPub_Mac_OS_X_Backdoor_Java_eksployty_tselevye_ataki_i_vozmozhnaya_APT_ataka),
предназначенную для заражения платформы Mac OS X через уязвимость одного
из приложений MS Office. После установки троянец передавал
злоумышленникам скриншоты с компьютера жертвы и позволял удаленно
выполнять команды.

История с троянцем Flashfake
(http://www.securelist.com/ru/blog/207763929/Flashfake_Mac_OS_X_botnet),
с помощью которого злоумышленники создали бот-сеть, насчитывающую более
700 тысяч Мас-компьютеров, является наиболее известным примером
заражения устройств компании Apple. Однако не стоит забывать, что
преступники проводят множество менее масштабных, целенаправленных атак.
Возможно, именно это послужило причиной того, что на прошлой неделе
Apple убрала
(http://www.wired.co.uk/news/archive/2012-06/26/macs-get-viruses) со
своего веб-сайта фразу о том, что Mac, в отличие от Windows, не
подвержен вирусным эпидемиям.

Более подробную информацию об атаках на платформу Mac OS X вы можете
получить на сайте www.securelist.com/ru
(http://www.securelist.com/ru/blog).

Каталог японской компании Kuroutoshikou пополнился двухдисковой док-станцией KURO-DACHI/CLONE/U3. Простое как тостер устройство позволяет расширить дисковое пространство двумя дополнительными SATA-накопителями типоразмера 2,5″ или 3,5″. Скоростную передачу данных обеспечивает интерфейс USB 3.0.

Док-станция Kuroutoshikou KURO-DACHI/CLONE/U3

Другая полезная функция устройства заключается в возможности полностью скопировать содержимое одного накопителя на другой без необходимости в ПК. Пользователю необходимо лишь нажать кнопку Clone и дождаться завершения процесса клонирования, ход которого отображается на передней панели.

Док-станция имеет размеры 149 х 108 х 62 мм и весит 410 г.

Новинка появится в продаже в середине апреля по цене около $48,7.

ИСТОЧНИК

AIDA64 Logo

AIDA64 Extreme Edition — специальная программа для операционных систем Windows, которая позволяет производить диагностику установленного аппаратного обеспечения и производить замеры быстродействия работы ПК.

AIDA64 предлагает богатый инструментарий для выполнения тестов работы CPU, памяти и дисковой подсистемы, осуществления мониторинга температур, напряжений и скоростей вращений крыльчатки вентиляторов, а также анализа установленных программ и целиком операционной системы.

Интерфейс программы AIDA64 Extreme Edition 

В новой версии улучшена поддержка UPS, переделан гаджет Desktop Gadget, добавлена поддержка Intel Haswell APU, Intel Lynx Point PCH, Intel Penwell SoC, Intel 520 и Intel 710 SSD, AMD Radeon HD 7000 Series и nVIDIA GeForce 600 Series..

Загружать AIDA64 Extreme Edition v.2.50 оттуда (13,1 МБ, Shareware, Windows All).

ИСТОЧНИК

Я получаю много писем с просьбами написать статью о твердотельных накопителях, осветить их плюсы/минусы, выразить свое мнение. Прежде всего: спасибо большое всем кто мне писал. Благодаря этому я смог ускорить процесс записи этого материала, коему уделял больше времени и внимания.

Сразу хочу сказать, что мое отношение к SSD пока негативное, и в этой статье я обосную свою точку зрения.

Поехали!

Введение

Solid State Drive (SSD) или по-русски: твердотельный накопитель, это устройство, которое было призвано отправить в анналы истории жесткие диски.

Если традиционный жесткий диск — это точнейшая механика, первоклассная электроника и невероятная уязвимость перед физическими воздействиями, то SSD — это ячейки памяти и контроллер, по сути просто «флешка», но объемом как жесткий диск.

sandisk_ssd

SSD задумывался как супербыстрая память для компьютеров и ноутбуков, которая позволит навсегда распрощаться с «тормозами» и зависаниями от перегрузки. У нее большие перспективы роста емкости. И при этом, вы можете сбросить накопитель с пятого этажа на голый асфальт, и с вероятностью 70% он не пострадает вообще…

Но всё это — в идеале. Но что же на деле?

Да, SSD минимум в два раза быстрее жесткого диска. Да, в них полностью отсутствует механика и связанные с этим проблемы. Да, они абсолютно бесшумные и потребляют минимум энергии.

Но…

Факт 1: Емкость

ocz_ssd_sata2-020708На заре SSD все компании наперебой твердили, что, мол, «уже скоро мы с Вами увидим SSD объемом в несколько терабайт, который будет дешевле жесткого диска!».

В реальности этого не произошло. Флеш-память развивалась не так быстро, как многим хотелось. Да и сейчас эти темпы не увеличились. На полках магазинов мы видим накопители МАКСИМУМ объемом в 512 ГБ (об их заоблачной цене поговорим позже).

Обычный же «рядовой» пользователь разве что может себе позволить раскошелиться максимум на 128 ГБ накопитель за несколько сотен долларов. Согласитесь, что в эпоху 4-терабайтных жестких дисков 128 ГБ (или ниже) — это просто возмутительно смешно.

Пользователю, который занимается серьезной работой на своем ПК такого объема явно недостаточно. И профессионалы поймут меня.

Для ноутбука, который работает в формате «проверить почту, посидеть в сети и посмотреть кинишку» — более чем, но не для рабочих станций или игровых ПК…

Кто-то скажет, что «такого объема хватит для того, чтобы установить Windows и другие программы». Хорошо, я установлю операционную систему на SSD, но какой в этом смысл, если все файлы хранятся на жестком диске?

Даже если мой видеоредактор будет запускаться с SSD за пару секунд, то ему придется умерить пыл, работая с жестким диском, на котором лежит обрабатываемое HD-видео. И это только один пример…

Вердикт: объемы нынешних SSD еще слишком малы, чтобы рассматривать их в полном смысле слова, как «накопители данных». К тому же, емкость SSD нужно очень четко соотносить со стоимостью, о которой мы сейчас поговорим.

 

Факт 2: Стоимость

Вы можете ознакомиться со стоимостью SSD накопитлей в любом интернет магазине. Приведу примеры:

Kingston 32 GB — 2500 рублей. Про объем молчим: в некоторых фотоаппаратах и видеокамерах устанавливают больше. Этого будет маловато даже для установки «голой» Windows 7 (что останется-то?!).

Kingston 256 GB — 10 000 рублей. Объем хоть и мал, но уже минимально достаточен. Но цена просто убивает. Это при том, что жесткий диск на 250 ГБ стоит всего 2300 рублей.

Думаю, что этим всё сказано…

Кто-то скажет, что «за супербыстрый накопитель можно отдать такие деньги!». Согласен. Только согласитесь, что скорость должна идти не в ущерб надежности, не так ли?

А вот это самое интересное…

Факт 3: Надежность

Как я уже отмечал, SSD мало боится физических воздействий, тряски, вибраций, и т.д. Многие производители стали даже производить «огнеупорные» и «водостойкие» SSD!!!

Но на самом деле, рассуждения о ФИЗИЧЕСКОЙ надежности SSD уводят нас от самого главного, серьезнейшего их недостатка. Возможно более серьезного, чем недостатки жесткого диска…

Первый аспект: ресурс ячеек

nand_600Как вы знаете, SSD представляет собой набор ячеек памяти. В отличии от магнитной пластины жесткого диска, которая может быть перезаписана миллионы раз, ячейки памяти имеют ограниченный срок службы. И тут «кто в лес, кто по дрова».

На некоторых моделях SSD ячейки поддерживают максимум 5-10 тысяч циклов записи/стирания, а на самых лучших образцах — максимум 100-200 тысяч циклов. Цифры кажутся большими только на первый взгляд.

Каждый, кто приобретал компьютер в первый раз — помнит, как наблюдал за маленьким красным индикатором на корпусе, который мигает постоянно, если в системе производятся какие-то действия. Этот самый индикатор показывает нам активность жесткого диска и наяву показывает каждому, что жесткий диск находится постоянно в работе.

К нему обращается прежде всего — сама операционная система, с фоновыми процессами, скрытыми от глаз пользователя. А уже потом: программы и сам пользователь. Диск, на котором установлена операционная система (не важно какая) — постоянно получает запросы либо на чтение либо на запись.

И дело в том, что таких запросов только за один день может набежать несколько тысяч. Добавьте к этому активность пользователя и программ, которые при работе читают, вносят изменения и записывают данные в файлы — и Вы увидите, что количество циклов перезаписи даже в 200 000 — это чертовски мало.

Это доказывает практика! Существует множество примеров того, как пользователи SSD «убивают» свои дорогостоящие накопители буквально за пару-тройку месяцев, при этом недоумевая: «Почему?! Ведь я же не нагружал их сильно!»

В качестве примера — процессы, которые быстро выводят из строя SSD:

— Дефрагментация. Это зло №1. При этом процессе выполняется ОГРОМНЕЙШЕЕ количество операций чтения/записи. Для жесткого диска это не проблема, ему это абсолютно всё равно; но SSD теряет свой ресурс буквально на глазах.

— Системные журналы. Windows постоянно ведет учет системных событий, записывая мало-мальски существенные данные в журнал. За день может набежать добрых несколько сотен пунктов! Это тоже серьезная нагрузка для ресурса SSD.

— Сама файловая система NTFS. Как известно, это журналируемая файловая система. А этот процесс может «убить» SSD невероятно быстро!

— Кэширование. Многие программы (фото и видео редакторы например) во время работы очень многие данные хранят не в оперативной памяти, а в файле кэша на накопителе. Естественно, эта информация активно используется в работе и потому опять же — сильно нагружает SSD.

И т.п.

Но даже если отключить ведение журнала системы, отключить журналирование NTFS, запретить дефрагментацию и не использовать кэширование — это не спасет.

Да, вы продлите срок службы SSD с 3-4 месяцев до 1-2 лет. Но что это меняет?!

Используя жесткий диск вы знаете, что его срок службы измеряется только годами (износ механики). Вы можете использовать его круглосуточно, но свои 4-5 лет он отработает. А в случае SSD вы знаете, что чем активнее вы работаете на компьютере, тем меньше вашему SSD осталось «жить».

Отсюда парадокс: SSD был разработан для активных пользователей, кому нужна скорость; но вместе с тем, он не переносит этой самой активности. Будем надеяться, что в будущем производители придумают и сделают массовыми ячейки памяти с неограниченным сроком службы.

Но и в этом случае остается еще одна проблема…

Второй аспект: надежность хранения

Broken hdd data lossНа пластинах жесткого диска информация хранится четко и последовательно. Поскольку современные версии Windows выполняют дефрагментацию, то можно сказать что данные хранятся так же более-менее логично. Так, что в случае потери ее относительно проще восстановить.

Скажем, если жесткий диск заполнен только наполовину — то и физически используется только половина площади пластин дисков.

В случае с SSD это недопустимо. Поскольку ячейки имеют ограниченный срок службы, нужно позаботиться об их равномерном износе. Чтобы не было такого, что половина ячеек памяти износились «в ноль», а вторая половина осталась целой и невредимой.

Для этого, контроллер SSD осуществляет принудительную фрагментацию ВСЕХ хранящихся на SSD файлов. Принудительно и постоянно. Пользователь даже не знает о том, что текстовый файл в 100 КБ хранится в разбросанном виде по всем чипам памяти в SSD, какие только есть.

Это безусловно плохо. Фактически, такая схема сродни шифрованию. Если выходит из строя контроллер (что бывает ооочень часто) — данные с SSD восстановить просто НЕВОЗМОЖНО. Ни при каких обстоятельствах. Даже для лабораторий это наитруднейшая задача.

В случае выхода из строя жесткого диска — нет необходимости собирать все данные по кусочкам по всей площади дисков. Можно восстановить информацию последовательным считыванием — с самой первой дорожки по последнюю. И данные считаются в полном объеме, корректно.

Если последовательно считывать SSD — получаем бессмысленный набор битов, ведь «одному контроллеру известно», что там от чего и где лежало. А он ушел, унеся с собой эту тайну…

Факт 4: Скорость

ssd speed meterВот мы и добрались к тому самому преимуществу, которое свято лелеют производители SSD и выставляют его как «железный аргумент» в ответе на вопрос, почему SSD лучше жестких дисков.

Здесь тоже не все так прямолинейно, как может показаться.

Дело в том, что быстродействие при записи, скажем, одного файла размером 1 ГБ и тысячи файлов по 1 МБ — разная. Работа с одном файлом происходит всегда В РАЗЫ быстрее, чем с набором файлов аналогичного размера.

И снова, как ни странно, быстродействие жесткого диска при работе с мелкими файлами — чаще намного лучше, чем у SSD. Слабым местом становится контроллер SSD, который не справляется с напором данных.

Проблема не решена до сих пор. Снова надеемся на будущее и ждем первых по-настоящему скоростных образцов.

Итоги

Итак, что можно сказать про SSD сегодня?

Совершенно очевидно, что для массового применения в компьютерах — они не годны. Высокая стоимость, малый объем, и абсолютная непригодность к интенсивной эксплуатации.

Сегодня SSD годны разве что для ноутбуков. Да, пусть объем и не большой и дорого, но зато потребляет меньше энергии. Но покупая ноутбук с SSD, помните о его ограниченном сроке службы.

ИСТОЧНИК