Записи с меткой «электронная»

новости от «Лаборатории Касперского»

Спамеры все чаще начинают использовать в качестве приманки в своих рассылках криптовалюту биткоин. «Лаборатория Касперского» зафиксировала ряд спам-сообщений, в которых злоумышленники предлагали пользователям разбогатеть именно за счет этих растущих в цене электронных монет.

Так, в одной из массовых рассылок спамеры хотели поделиться с пользователями секретом некоего миллионера, который сделал свое состояние на биткоинах. По их уверениям, этот волшебный секрет позволил бы только за первый день заработать полторы тысячи долларов, даже не покупая криптовалюту. От пользователя требовалось всего лишь оставить адрес своей электронной почты на специальном портале, после чего мошенники обещали открыть доступ к желаемому заработку.

В другом случае спамеры предлагали получателю письма выиграть драгоценные биткоины в лотерею и просили для этого пройти по указанной в сообщении ссылке, скачать находящийся там файл и установить его на своем компьютере.

Еще одной мошеннической уловкой, обнаруженной «Лабораторией Касперского» в спам-рассылках, стало предложение купить специальную программу для зарабатывания биткоинов – всего за 7 долларов, необходимых для приобретения этого ПО, спамеры обещали пользователям большой и стабильный доход.


Пример спам-письма с предложением заработать на биткоинах

В то же время постоянно растущий спрос на биткоины уже сегодня привел к тому, что для их создания недостаточно мощности обычного персонального компьютера и требуются ресурсы специальных майнинговых ферм. Это в свою очередь означает, что предложение спамеров заработать баснословные суммы в криптовалюте, проводя всего несколько часов в день за личным ПК, просто технически невозможно.

«Приобретение биткоинов стало сегодня своего рода новой «золотой лихорадкой». А в погоне за наживой легко увлечься и потерять бдительность, чем охотно воспользуются злоумышленники. Все обнаруженные нами предложения несомненно являются откровенной финансовой аферой, в которой выгоду получат лишь ее организаторы. Именно поэтому мы настоятельно рекомендуем пользователям не обращать внимания на сообщения от незнакомых отправителей, предлагающих разбогатеть, и не подвергать риску безопасность своего компьютера, скачивая сомнительные файлы или оставляя спамерам адрес своей электронной почты», – отмечает Татьяна Куликова, старший спам-аналитик «Лаборатории Касперского».

Подробнее об уловках спамеров и их предложениях заработать состояние на биткоинах читайте на официальном аналитическом ресурсе «Лаборатории Касперского»: www.securelist.com/ru/blog/207769020/Virtualnye_bitkoiny_vs_realnye_dengi.

Реклама


ГЛАВНЫЕ НОВОСТИ

18 декабря 2013 года
Trojan.BtcMine.218 раскрывает имя своего создателя
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный специалистами «Доктор Веб» в декабре 2013 года.
Комментировать новость

16 декабря 2013 года
Trojan.Skimer.18 заражает банкоматы
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о распространении троянской программы Trojan.Skimer.18. Целью злоумышленников, разработавших данное вредоносное приложение, стали банкоматы производства одного из крупнейших мировых производителей. Троянец способен перехватывать и передавать злоумышленникам данные банковских карт, обрабатываемые инфицированным банкоматом, включая хранящуюся на карте информацию и секретный PIN-код.
Комментировать новость


ОБНОВЛЕНИЯ

16 декабря 2013 года
Обновление Dr.Web Virus-Finding Engine до версии 7.0.7 в продуктах Dr.Web
Компания «Доктор Веб» сообщает об обновлении антивирусного ядра Dr.Web Virus-Finding Engine (7.00.7.12100) в продуктах Dr.Web Security Space и Антивирус Dr.Web 6.0, 7.0, 8.0 и 9.0; в программных продуктах в составе Dr.Web Desktop Security Suite, Dr.Web Server Security Suite, Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite и интернет-сервиса Dr.Web AV-Desk; в лечащих утилитах Dr.Web CureIt! и Dr.Web CureNet!; а также в инструментах аварийного восстановления системы Dr.Web LiveCD и Dr.Web LiveUSB.
Комментировать новость


ДРУГИЕ НОВОСТИ

19 декабря 2013 года
Итоги «аукциона десятилетия» на ВебIQметре
На сайте проекта ВебIQметр завершился шестнадцатый аукцион, ставший последним в 2013 году. В числе специальных лотов были разыграны 5 игровых клавиатур Mad Catz S.T.R.I.K.E.7, одна приставка Sony PS3 500Gb Super Slim, 12 компьютерных мышей A4 Tеch X 710 и 3 видеоигры Grand Theft Auto V. Вместе с тем «с молотка» ушли юбилейные десятилетние лицензии Dr.Web.
Комментировать новость


АНАЛИТИКА


ПОДКАСТЫ СОТРУДНИКОВ «ДОКТОР ВЕБ»

Очередная волна троянцев-шифровальщиков — Вирусная рассылка для жителей Казахстана

Posted: Июнь 27, 2013 in Антивирус, Доктор Веб, Новости, антивирусы, атака, вирусы, компьютеры, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

20 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225: только за последнее время за помощью в восстановлении файлов, пострадавших от действия этого троянца, в антивирусную лабораторию «Доктор Веб» обратилось более 160 человек.

Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. После того как файлы зашифрованы, троянцы семейства Trojan.Encoder, в зависимости от модификации, могут помещать на диск текстовые файлы с информацией по восстановлению данных либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Троянцы-шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, Trojan.Encoder.225 может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder. Троянец Trojan.Encoder.94 нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

screen

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию «Доктор Веб». Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации троянца, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. Жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками. Благодаря тому, что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании «Доктор Веб».

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Не забывайте о необходимости своевременного резервного копирования хранящейся на жестких дисках вашего компьютера информации. Если вы являетесь зарегистрированным пользователем антивирусных продуктов «Доктор Веб», отправьте несколько зашифрованных файлов в антивирусную лабораторию, воспользовавшись соответствующей формой и выбрав категорию «Запрос на лечение», после чего дождитесь ответа вирусного аналитика и в точности следуйте его инструкциям.

С более подробной информацией о методах противодействия троянцам-энкодерам можно ознакомиться по адресу legal.drweb.com/encoder.

25 июня 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о массовой вредоносной рассылке, представляющей серьезную опасность для жителей Казахстана. Получатели почтовых сообщений рискуют стать жертвами вредоносной программы BackDoor.Shell.218, открывающей удаленный доступ к инфицированному компьютеру.

Специалистами компании «Доктор Веб» 13, 17 и 23 июня 2013 года была зафиксирована массовая почтовая рассылка, ориентированная в первую очередь на жителей Казахстана. В качестве отправителя электронных сообщений значилось «Web-приложение «Кабинет налогоплательщика» <web-application-cabinet@mail.ru>», а само послание содержало следующий текст: «В целях разъяснения норм налогового законодательства и налогового администрирования Налоговый комитет МФ РК направляет Вам письмо разъясняющего характера».

Письмо содержало вложение в виде архива, при попытке открытия которого запускалось вредоносное приложение. Из ресурсов данной программы извлекалось основное тело троянца и сохранялось во временную папку под именем winlogon.exe, после чего данное приложение запускалось на исполнение и демонстрировало на экране инфицированного компьютера документ в формате .DOC.

Троянская программа детектируется антивирусным ПО «Доктор Веб» как BackDoor.Shell.218. Этот троянец относится к категории приложений, открывающих злоумышленникам возможность удаленного управления инфицированной системой: он позволяет выполнять различные команды в командной строке Windows, делать снимки экрана и даже выключать компьютер.

Особо стоит отметить, что основные адресаты рассылки — сотрудники бухгалтерий различных компаний. Именно для этой категории пользователей поступление письма из налоговых органов — безусловный повод его прочитать и не задумываясь открыть любое вложение. При этом именно бухгалтерские компьютеры чаще всего используются для проведения онлайн-платежей в системах «Банк-Клиент». Доступ к таким компьютерам — заветная мечта киберпреступников, промышляющих хищениями денежных средств со счетов предприятий. Именно такой доступ к компьютеру жертвы и открывает злоумышленникам BackDoor.Shell.218.

Специалисты компании «Доктор Веб» призывают пользователей не открывать вложения в сообщения электронной почты, полученные от подозрительных отправителей, а также поддерживать базы установленного на компьютере антивирусного ПО в актуальном состоянии.

Dr.Web

22 апреля 2013 года

Глядя на современную статистику распространения вредоносных программ, можно смело сказать, что троянцы-шифровальщики семейства Trojan.Encoder занимают в ней весьма высокие позиции. Компания «Доктор Веб» — российский разработчик средств защиты информации — предупреждает пользователей о массовом распространении двух новых модификаций этих троянцев – Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов. Специалисты «Доктор Веб» предлагают бесплатные рекомендации, которые помогут жертвам устранить последствия заражения этими вредоносными программи и расшифровать файлы.

Троянцы-шифровальщики за последние годы стали весьма распространенной категорией угроз. Во многом благодаря выгодной для злоумышленников модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.

Троянец Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 – начали массово распространяться в конце марта — начале апреля 2013 года. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на пятницу, 19 апреля 2013 года в службу технической поддержки компании «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы троянца Trojan.Encoder.215, при этом заявки продолжают поступать.

Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране следующее сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.», при этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.

В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).

Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Если вы стали жертвой указанных вредоносных программ, воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
  • к тикету приложите зашифрованный троянцем файл;
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Спам в марте 2013 года: Уго Чавес «на службе» у мошенников

После значительного роста количества спама в феврале в первый весенний
месяц объем почтового мусора стабилизировался на уровне в 70,1%. Однако
радости от этого пользователи не почувствовали, поскольку наряду с этим
доля вредоносных вложений в незапрошенной электронной корреспонденции
существенно увеличилась и достигла 4%.

В марте спамеры традиционно старались использовать тему праздников для
привлечения внимания к своим письмам, не упуская при этом из виду и
«горячие» новости. К ним, безусловно, относятся сообщения о
смерти президента Венесуэлы Уго Чавеса. Одними из первых на трагическое
известие отреагировали интернет-мошенники, которые стали активно
использовать в электронных рассылках темы, связанные с Боливарианской
Республикой. Так, одно из мошеннических писем было разослано от имени
начальника морского порта Венесуэлы, который якобы просил помочь ему
сохранить деньги, полученные от продажи дизельного топлива Южному
Судану. При этом в первом письме мошенники не обещают адресату
конкретную сумму за содействие, и только в ходе дальнейшей переписки
предлагается денежное вознаграждение.

В другой рассылке распространялось письмо якобы от начальника службы
безопасности и по совместительству близкого друга Уго Чавеса. Как
всегда, «нигерийские» мошенники не ограничивают полет своей
фантазии: «друг» имеет доступ к деньгам, которые покойный
президент хранил на банковском счету своей тайной возлюбленной, и теперь
готов предложить получателю письма 25% от общей суммы за помощь в выводе
средств.

На этом опасности для пользователей в почте не ограничиваются. После
некоторого затишья злоумышленники, распространяющие вредоносные
программы по электронной почте, возобновили рассылку писем —
подделок под уведомление о бронировании отелей и авиабилетов. В
частности, в марте была зарегистрирована новая рассылка подделок под
уведомление о бронировании номера в Atlantic Hotel. В письме, написанном
от лица менеджера отеля, злоумышленники благодарили получателя за
бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013
года. Если получатель открывал приложенное к письму «уведомление о
бронировании», происходило заражение компьютера троянцем, который
используется для вымогания денежных средств или финансовой информации.

В географическом распределении спам-потоков в марте обострилась борьба
между США и Китаем, которые с переменным успехом оказываются на верхней
строчке рейтинга государств, с территории которых распространяется
больше всего незапрошенной электронной корреспонденции. В прошлом месяце
в этой «схватке» победителем вышла Поднебесная, на долю
которой приходится четверть всего почтового мусора. В то же время вклад
США увеличился лишь незначительно (+0,4%), и в итоге эта страна
откатилась на вторую позицию. Страны-источники спама в мире

В Рунете также произошла рокировка. Прежний лидер, Индия, получила
«серебро», а ее место занял Тайвань, поднявшийся с третьей
позиции. Россия же, как и в глобальном рейтинге, постепенно сдает
позиции и в марте переместилась с 6-й на 8-ю строчку.

«Март стал месяцем стабильности для спама. Это отразилось не
только на доли почтового мусора, но и на распределении основных его
источников, прежде всего США и Китае, на долю которых приходится до 43%
всех нежелательных сообщений, — прокомментировала Татьяна
Щербакова, старший спам-аналитик «Лаборатории Касперского».
— В апреле мы ожидаем уменьшение количества рассылок, использующих
тематику различных праздников для рекламы товаров и услуг, но в то же
время весьма вероятно появление русскоязычного «пасхального»
спама. Одновременно, из-за двукратного увеличения в марте доли
фишинговых писем пользователям также следует быть более осмотрительными
с почтой. Это в первую очередь касается владельцев аккаунтов в соцсетях,
на которых приходится треть всех фишинговых атак».

Ознакомиться с полной версией спам-отчета за март 2013 года можно на
сайте www.securelist.com/ru.

13 февраля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о новой модели сетевого мошенничества, которая стала особенно популярной с конца 2012 года. Представляясь иностранцами с русскими корнями, мошенники ищут на сайтах знакомств одиноких женщин, которым в процессе общения предлагают отправить по почте дорогой подарок (планшет, смартфон или ювелирное украшение). Для этого мошенник предлагает воспользоваться услугами частной курьерской службы, за которой скрывается подставной сайт, где жертва и теряет деньги, оплатив доставку столь ценного подарка.

Эта схема, успешно применяемая сетевыми мошенниками вот уже более года, в последнее время все больше набирает популярность, судя по росту числа пострадавших. Для реализации своего преступного замысла злоумышленники регистрируются на различных сайтах знакомств и выбирают себе потенциальную жертву из числа одиноких женщин. Как правило, мошенники представляются эмигрантами либо иностранцами с русскими корнями — именно этим они объясняют хороший уровень владения русским языком. Завоевав доверие жертвы в процессе переписки, злоумышленник сообщает ей, что намерен отправить своей «избраннице» какой-либо дорогой подарок: электронный планшет, смартфон или ювелирное украшение. Однако поскольку презент представляет большую ценность, отправитель не рискует отсылать отправление обычной почтой, вместо этого он предпочитает воспользоваться услугами частной курьерской службы.

Через некоторое время потенциальной жертве приходит электронное сообщение со ссылкой на сайт транспортной компании, также содержащее логин и пароль для доступа в «личный кабинет». После успешной авторизации пользовательнице демонстрируется веб-страница с номером почтового отправления, указанием его веса и имени получателя. Однако в этот момент выясняется пикантная подробность: отправитель не оплатил стоимость доставки посылки до получателя. Эту сумму, составляющую обычно от нескольких сотен рублей до нескольких сотен долларов, злоумышленники и предлагают выплатить жертве. Вполне естественно, что вскоре после оплаты «курьерская служба», как и сам щедрый поклонник, исчезают в неизвестном направлении.

screen

screen

Существует и более изощренный вариант аналогичного мошенничества. Злоумышленник представляется американским офицером, служащим в одной из «горячих точек» — например, в Афганистане или Сирии. Нередко киберпреступники используют в своих целях имена и фотографии настоящих военнослужащих армии США, взятые из открытых источников, как правило, социальных сетей. После непродолжительного периода романтического общения — переписки и даже телефонных звонков — «горячий поклонник» сообщает своей избраннице, что вскоре ему предстоит отпуск или через некоторое время подходит срок окончания контракта, поэтому он готов встретиться с ней. Еще одна приятная новость: в ходе военных действий этот офицер сумел раздобыть те или иные материальные ценности, например, ювелирные украшения, антиквариат, драгоценности, и готов переправить их своей возлюбленной. Ценности он планирует отослать дипломатической почтой, которая, как известно, не подлежит таможенному декларированию и досмотру, или через знакомого — сотрудника одной из международных организаций. Только вот для того, чтобы вывезти эти богатства из страны, нужно заплатить посреднику. Совсем немного: тысячу-другую долларов. В качестве альтернативного сценария аферисты нередко используют такой прием: отправление якобы задержали на таможне в какой-то далекой стране, и чтобы оно достигло адресата, нужно заплатить некую сумму в качестве «взятки».

Киберпреступники, промышляющие подобными аферами на сайтах знакомств, называются «скамерами», и описанные выше ситуации являются весьма распространенными способами мошенничества «на доверии». Специалисты компании «Доктор Веб» призывают пользователей относиться к виртуальным знакомым с определенной долей осторожности и ни в коем случае не оплачивать услуги по доставке каких-либо подарков или посылок. Если вы в силу обстоятельств стали жертвой сетевых аферистов, обязательно напишите заявление о факте мошенничества в территориальный отдел полиции.

ИСТОЧНИК