Записи с меткой «управление»

Очередная волна троянцев-шифровальщиков — Вирусная рассылка для жителей Казахстана

Posted: Июнь 27, 2013 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

20 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого троянца, в антивирусную лабораторию «Доктор Веб» обратилось более 160 человек.

Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, троянцы семейства Trojan.Encoder, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder. Троянец Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

screen

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию «Доктор Веб». Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации троянца, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. Жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками. Благодаря тому, что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании «Доктор Веб».

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Не забывайте о необходимости своевременного резервного копирования хранящейся на жестких дисках вашего компьютера информации. Если вы являетесь зарегистрированным пользователем антивирусных продуктов «Доктор Веб», отправьте несколько зашифрованных файлов в антивирусную лабораторию, воспользовавшись соответствующей формой и выбрав категорию «Запрос на лечение», после чего дождитесь ответа вирусного аналитика и в точности следуйте его инструкциям.

С более подробной информацией о методах противодействия троянцам-энкодерам можно ознакомиться по адресу legal.drweb.com/encoder.

25 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о массовой вредоносной рассылке, представляющей серьезную опасность для жителей Казахстана. Получатели почтовых сообщений рискуют стать жертвами вредоносной программы BackDoor.Shell.218, открывающей удаленный доступ к инфицированному компьютеру.

Специалистами компании «Доктор Веб» 13, 17 и 23 июня 2013 года была зафиксирована массовая почтовая рассылка, ориентированная в первую очередь на жителей Казахстана. В качестве отправителя электронных сообщений значилось «Web-приложение «Кабинет налогоплательщика» <web-application-cabinet@mail.ru>», а само послание содержало следующий текст: «В целях разъяснения норм налогового законодательства и налогового администрирования Налоговый комитет МФ РК направляет Вам письмо разъясняющего характера».

Письмо содержало вложение в виде архива, при попытке открытия которого запускалось вредоносное приложение. Из ресурсов данной программы извлекалось основное тело троянца и сохранялось во временную папку под именем winlogon.exe, после чего данное приложение запускалось на исполнение и демонстрировало на экране инфицированного компьютера документ в формате .DOC.

Троянская программа детектируется антивирусным ПО «Доктор Веб» как BackDoor.Shell.218. Этот троянец относится к категории приложений, открывающих злоумышленникам возможность удаленного управления инфицированной системой: он позволяет выполнять различные команды в командной строке Windows, делать снимки экрана и даже выключать компьютер.

Особо стоит отметить, что основные адресаты рассылки — сотрудники бухгалтерий различных компаний. Именно для этой категории пользователей поступление письма из налоговых органов — безусловный повод его прочитать и не задумываясь открыть любое вложение. При этом именно бухгалтерские компьютеры чаще всего используются для проведения онлайн-платежей в системах «Банк-Клиент». Доступ к таким компьютерам — заветная мечта киберпреступников, промышляющих хищениями денежных средств со счетов предприятий. Именно такой доступ к компьютеру жертвы и открывает злоумышленникам BackDoor.Shell.218.

Специалисты компании «Доктор Веб» призывают пользователей не открывать вложения в сообщения электронной почты, полученные от подозрительных отправителей, а также поддерживать базы установленного на компьютере антивирусного ПО в актуальном состоянии.

Реклама

«Лаборатория Касперского» раскрыла серию целевых атак на игровые компании

Хакерская группа Winnti уже несколько лет тайком наживается с помощью
целевых атак на производителей и издателей компьютерных онлайн-игр. К
такому выводу пришли аналитики «Лаборатории Касперского» в
ходе детального исследования вредоносного ПО, обнаруженного в игровых
компаниях. О его результатах и возможной схеме монетизации данных
рассказывают антивирусные эксперты «Лаборатории Касперского»
в исследовании «Winnti. Это вам не игрушки».

Осенью 2011-го года на компьютеры огромного количества игроков одной из
популярных онлайн-игр вместе с обновлениями игры попал троянец. Но, как
выяснилось впоследствии, настоящей мишенью злоумышленников были не
игроки, а компании, занимающиеся разработкой и издательством
компьютерных игр. Игровая компания, с серверов которой распространился
троянец, обратилась к «Лаборатории Касперского» с просьбой
проанализировать вредоносную программу, которую сотрудники компании
обнаружили на сервере обновлений. Обнаруженное вредоносное ПО обладало
функционалом бэкдора, который скрытно от пользователя предоставлял
возможность злоумышленникам управлять зараженным компьютером.

В ходе исследования было обнаружено, что подобное вредоносное ПО уже
детектировалось ранее и значится в коллекции «Лаборатории
Касперского». Теперь семейство таких зловредов известно под
названием Winnti. Соответственно, людей, стоящих за атаками с
использованием этого средства удаленного управления, также стали
называть «группа Winnti».

Подробный анализ образцов Winnti позволил выявить несколько ключевых
фактов об атаках. За время существования Winnti не менее 35 компаний
были когда-либо заражены этой группой злоумышленников, и действует эта
группа уже довольно давно — как минимум с 2009-го года. Географию
распространения зловреда также можно считать глобальной: атакованные
компании расположены по всему миру — в Германии, США, Японии,
Китае, России и многих других странах. Однако у группы Winnti
наблюдается тяготение к странам Восточной Азии: количество обнаруженных
угроз там выше. Кроме того, в ходе исследования было выяснено, что за
организацией киберпреступлений стоят хакеры китайского происхождения, а
фирменным стилем этой группы стала кража сертификатов у атакованных
компаний и последующее их использование для новых атак.
(http://www.kaspersky.ru/images/news/map.png)Страны, в которых обнаружены пострадавшие игровые
компании

Результаты исследования наглядно продемонстрировали, что атакам такого
рода может быть подвержена любая организация, данные которой можно
эффективно монетизировать. Эксперты «Лаборатории
Касперского» выделили 3 основные схемы монетизации кампании
Winnti:

— нечестное накопление игровой валюты/»золота» в
онлайн-играх и перевод виртуальных средств в реальные деньги;

— кража исходников серверной части онлайн-игр для поиска уязвимостей в
играх, что может привести к описанному выше методу нечестного
обогащения;

— кража исходников серверной части популярных онлайн-игр для
последующего развертывания пиратских серверов.

«Наше исследование выявило длительную широкомасштабную кампанию
кибершпионажа со стороны криминальной группы, имеющей китайское
происхождение. Основной целью атакующих стала кража исходных кодов
игровых проектов компаний и цифровых сертификатов. Кроме того,
злоумышленников интересовали данные об организации сетевых ресурсов,
включая игровые серверы, и новых разработках: концептах, дизайне и т.п.,
— заключает один из авторов отчета антивирусный эксперт
«Лаборатории Касперского» Виталий Камлюк. — В ходе
расследования нам удалось предотвратить передачу данных на сервер
злоумышленников и изолировать зараженные системы в локальной сети
компании».

Подробный отчет об исследовании атак на игровые компании можно прочитать
на www.securelist.com/ru.

 

Как управлять компьютером движением носа?

Как управлять компьютером движением носа? | Продвигаемся вместе!.