Теги → drweb
Быстрый переход

Новый шифровальщик кодирует файлы без возможности восстановления

«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая атакует пользователей операционных систем Windows с целью наживы.

Зловред получил обозначение Trojan.Encoder.25129. Это троян-шифровальщик, кодирующий данные на инфицированном компьютере. Увы, из-за ошибки вирусописателей восстановление повреждённых шифровальщиком файлов в большинстве случаев невозможно.

После проникновения на ПК зловред проверяет географическое расположение пользователя по IP-адресу. По задумке злоумышленников, троян не должен кодировать файлы, если компьютер расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде программа шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Троян кодирует содержимое папок текущего пользователя, рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron.

За восстановление доступа к файлам злоумышленники требуют выкуп в криптовалюте — биткоинах. Но, даже заплатив деньги, что категорически не рекомендуется, жертвы зловреда не смогут вернуть свои данные. 

В магазине Google Play обнаружены игры с троянским модулем

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда игр для операционной системы Android, в состав которых интегрирован вредоносный компонент.

Сообщается, что в небезопасные приложения встроен троянский модуль, который незаметно скачивает и запускает дополнительные компоненты. Они могут выполнять различные функции — например, скрытно открывать те или иные сайты и «нажимать» на определённые элементы на этих страницах.

В процессе работы вредоносный модуль загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании трояна был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счётчика посещений веб-страниц и нажатия на баннеры.

Теоретически на мобильное устройство жертвы могут также загружаться модули для демонстрации рекламы или отображения фишинговых окон с целью кражи логинов, паролей и другой конфиденциальной информации, скажем, данных банковских карт.

«Доктор Веб» отмечает, что троянский модуль обнаружен примерно в трёх десятках игр (перечень доступен здесь), которые были загружены пользователями Android в общей сложности более 4,5 млн раз. Специалисты уже проинформировали корпорацию Google о наличии троянского компонента в обнаруженных небезопасных приложениях. 

Приложения с трояном загрузили из Google Play миллионы пользователей

«Доктор Веб» предупреждает о появлении в магазине Google Play ряда приложений со встроенной троянской программой: от этого зловреда могли пострадать миллионы пользователей Android по всему миру.

Троян носит обозначение Android.RemoteCode.106.origin. Он внедрён как минимум в девять приложений, с перечнем которых можно ознакомиться ниже.

После попадания на мобильное устройство зловред выполняет ряд проверок. Если на смартфоне или планшете отсутствует определённое количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троян никак себя не проявляет. В противном случае программа пытается связаться с управляющим сервером и приступает к работе.

Основным предназначением вредоносной программы является загрузка и запуск дополнительных модулей, которые используются для накрутки счётчика посещений веб-сайтов, а также для перехода по рекламным объявлениям. Это приносит злоумышленникам определённый доход.

Кроме того, троян может использоваться для проведения фишинговых атак и кражи конфиденциальной информации.

По различным оценкам, инфицированные приложения могли загрузить в общей сложности от 2,4 до 11,7 млн раз. Компания Google уже проинформирована о проблеме, однако полностью она пока не устранена. К тому же ничто не мешает злоумышленникам интегрировать вредоносный код в другие программы. Перечень обнаруженных заражённых приложений выглядит следующим образом:

  • Sweet Bakery Match 3 — Swap and Connect 3 Cakes версии 3.0;
  • Bible Trivia версии 1.8;
  • Bible Trivia – FREE версии 2.4;
  • Fast Cleaner light версии 1.0;
  • Make Money 1.9;
  • Band Game: Piano, Guitar, Drum версии 1.47;
  • Cartoon Racoon Match 3 — Robbery Gem Puzzle 2017 версии 1.0.2;
  • Easy Backup & Restore версии 4.9.15;
  • Learn to Sing версии 1.2.  

Новый троян крадёт логины и пароли у пользователей Windows-систем

«Доктор Веб» раскрыл схему работы новой вредоносной программы, способной похищать логины и пароли из популярных браузеров и скачивать опасные файлы.

Зловред получил обозначение Trojan.DownLoader23.60762. Он атакует пользователей систем под управлением Windows. Троян отличается от сородичей довольно богатой функциональностью.

Запустившись на атакуемом компьютере, вредоносная программа распаковывает собственное тело и ищет в памяти своего процесса фрагменты кода для выполнения. Копию исполняемого файла троян сохраняет во временной папке на накопителе инфицированного компьютера, а затем записывает путь к этому файлу в ключ системного реестра, отвечающий за автоматический запуск приложений. В результате зловред получает возможность запускаться вместе с операционной системой.

Для кражи конфиденциальной информации троян встраивается в процесс «Проводника Windows», а также в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome. Программа способна перехватывать функции, отвечающие за работу с компьютерной сетью.

Среди основных возможностей зловреда можно выделить загрузку и запуск различных файлов, удаление файлов cookies, перезагрузку и выключение компьютера, а также возможность перехватывать информацию, которую пользователь вводит на страницах веб-сайтов. 

«Доктор Веб» поможет вернуть файлы, закодированные шифровальщиком Encoder.10465

«Доктор Веб» сообщает о том, что специалистам компании удалось найти способ восстановить доступ к файлам, закодированным опасным шифровальщиком Trojan.Encoder.10465.

Названный зловред атакует пользователей персональных компьютеров под управлением операционных систем Windows. Троян написан на языке Delphi. Он распространяется в том числе посредством электронной почты в письмах с вложением.

Для шифрования файлов на заражённом компьютере вредоносная программа используется библиотека DCPCrypt, при этом применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. Зашифрованным файлам энкодер присваивает расширение .crptxxx, а также сохраняет на диске текстовый файл с именем HOW_TO_DECRYPT.txt следующего содержания:

Инструкции по расшифровке закодированных файлов можно получить здесь.

Нужно отметить, что только в прошлом году от программ-шифровальщиков пострадали как минимум полтора миллиона пользователей. Как показывают исследования, многие такие программы разработаны русскоязычными хакерами.

В 2016-м появился опасный класс вымогателей, шифрующих не отдельные типы файлов, а весь накопитель в целом. Такие зловреды могут, например, кодировать главную файловую таблицу (Master File Table, MFT) диска и делать невозможной нормальную перезагрузку компьютера. 

Новый вид сетевого мошенничества нацелен на владельцев веб-сайтов

«Доктор Веб» раскрыл новую мошенническую схему в Интернете: на этот раз киберпреступники атакуют владельцев веб-сайтов.

Потенциальные жертвы получают электронные письма, отправленные якобы от имени компании «Яндекс». Эксперты полагают, что при организации рассылки злоумышленники воспользовались базой контактов администраторов интернет-ресурсов.

Почтовый ящик, с которого отправлено письмо, зарегистрирован на бесплатном сервисе Yandex Mail и потому включает в себя домен yandex.ru. Это может вводить в заблуждение получателей.

В письмах злоумышленники предлагают владельцам сайтов повысить позиции ресурса в поисковой выдаче. Предложение якобы является персональным и ориентировано только на качественные интернет-ресурсы, содержащие уникальный контент, а также размещённые на домене, который был зарегистрирован до 1 августа 2012 года.

Послания содержат ссылку на страницу, на которой получателю предлагают на выбор способы оплаты этой услуги. Разумеется, после внесения платежа жертва не получает обещанного — деньги выводятся мошенниками с использованием ресурсов одного из популярных платёжных агрегаторов.

В рамках мошеннической кампании преступники арендовали несколько IP-адресов, к каждому из которых было привязано больше сотни URL веб-страниц для оплаты этой мнимой услуги. О количестве жертв злоумышленников ничего не сообщается. 

Новый бэкдор-шпион атакует российских ПК-пользователей

«Доктор Веб» предупреждает о появлении новой вредоносной программы BackDoor.TeamViewerENT.1, атакующей пользователей персональных компьютеров под управлением операционных систем Windows.

Зловред использует популярную программу удалённого администрирования компьютеров TeamViewer для шпионажа. Бэкдор состоит из нескольких модулей. Основные вредоносные функции трояна сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки, троян сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.

После запуска зловред отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций данного приложения и ряда системных функций.

Бэкдор способен выполнять широкий спектр действий: это перезагрузка и выключение ПК, получение звука с микрофона и изображения с веб-камеры, загрузка и запуск исполняемых файлов и пр. Очевидно, что подобная функциональность открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации.

Вредоносная программа атакует ПК-пользователей в России, Великобритании, Испании и США. Более подробную информацию о зловреде можно получить здесь

Обнаружен Linux-троян, написанный на языке Go

«Доктор Веб» предупреждает о появлении новой вредоносной программы, способной инфицировать компьютеры под управлением операционных систем Linux. Зловред получил обозначение Linux.Lady.1.

Особенностью названного трояна является то, что он написан на языке Go. Этот компилируемый, многопоточный язык программирования разработан компанией Google. Go разрабатывался как язык системного программирования для создания высокоэффективных программ, работающих на современных распределённых системах и многоядерных процессорах.

В своей архитектуре троян использует множество библиотек, опубликованных на популярном сервисе хранения и совместной разработки приложений GitHub. После запуска зловред передаёт на управляющий сервер информацию об установленной на компьютере версии Linux и наименовании семейства ОС, к которой она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и иные сведения. В ответ троян получает конфигурационный файл.

Основное предназначение вредоносной программы — добыча криптовалют. Полученные деньги троян зачисляет на принадлежащий злоумышленникам электронный кошелек.

Нужно отметить, что опасные приложения, созданные с использованием языка Go, попадались вирусным аналитикам и ранее, но пока они встречаются относительно нечасто. Зловред Linux.Lady.1 — один из примеров подобных вредоносных программ. 

Новый Android-троян самостоятельно покупает приложения в Google Play

«Доктор Веб» предупреждает о появлении вредоносной программы, которая при определённых условиях может самостоятельно покупать и устанавливать программы из каталога Google Play.

Зловред, получивший название Android.Slicer.1.origin, загружается на мобильные устройства жертв другими вредоносными программами. Он обладает характерными для популярных сервисных утилит и программ-оптимизаторов функциями. В частности, Android.Slicer.1.origin может показывать информацию об использовании оперативной памяти и «очищать» её, завершая работу активных процессов, а также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth.

Однако основное назначение программы — показ навязчивой рекламы. Через некоторое время после запуска, а также при включении или отключении экрана и Wi-Fi-модуля троян передаёт на управляющий сервер информацию об IMEI-идентификаторе заражённого смартфона или планшета, MAC-адресе Wi-Fi-адаптера, наименовании производителя мобильного устройства и версии операционной системы. В ответ зловред получает задания, необходимые для показа рекламы: к примеру, он может отобразить баннер или открыть ссылку в браузере или в каталоге Google Play.

Более того, троян в отдельных случаях способен самостоятельно устанавливать приложения из Google Play, в том числе и платные. Для этого задействуется вредоносный компонент Android.Rootkit.40. Правда, в силу ряда технических особенностей подобная функциональность зловреда проявляется только на устройствах под управлением Android 4.3. 

Обнаружен новый троян, инфицирующий POS-терминалы

«Доктор Веб» предупреждает о появлении новой вредоносной программы, инфицирующей POS-терминалы — аппаратно-программные комплексы, позволяющие осуществлять операции с помощью платёжных карт.

Зловред получил название Trojan.Kasidet.1. Он распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает саму вредоносную программу.

После активации троян проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своём окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдёт программу, которую сочтёт для себя опасной, он завершит работу. Если таких программ нет, зловред пытается запуститься с правами администратора.

Троян способен сканировать оперативную память инфицированной системы на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, зловред может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов.

Вредоносная программа Trojan.Kasidet.1 обладает и рядом других функций. Так, она может по команде злоумышленников загружать на инфицированное устройство сторонние приложения и библиотеки, а также передавать киберпреступникам заданные файлы. 

Новый троян угрожает бухгалтериям российских компаний

«Доктор Веб» предупреждает о распространении вредоносной программы Trojan.MulDrop6.44482, предназначенной для внедрения на компьютер жертвы других зловредов, в том числе опасного шпиона, угрожающего бухгалтериям отечественных компаний.

Троян распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если таковые обнаруживаются, программа завершает свою работу. Троян также прекращает работу, если локализация Windows отличается от русскоязычной.

При помощи Trojan.MulDrop6.44482 злоумышленники распространяют вредоносные программы Trojan.Inject2.24412 и Trojan.PWS.Spy.19338. Первая предназначена для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек.

Зловред Trojan.PWS.Spy.19338, в свою очередь, способен передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Троян, в частности, отслеживает активность пользователя в таких приложениях, как 1С версии 8, 1С версии 7 и 7.7, СБиС++, Skype, а также редакторах Microsoft Office.

Шпион запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Троян также может запускать на заражённом ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Зловред состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.

Вся информация, которой троян обменивается с управляющим сервером, шифруется в два этапа — сначала с использованием алгоритма RC4, затем — XOR. Записи о нажатиях клавиш зловред сохраняет на диске в специальном файле и с интервалом в минуту передаёт его содержимое на управляющий сервер. 

Опасный установщик распространяет вредоносное ПО для OS X

«Доктор Веб» предупреждает о распространении новой вредоносной программы, атакующей владельцев компьютеров Apple.

Зловред под обозначением Adware.Mac.WeDownload.1 представляет собой поддельный дистрибутив проигрывателя Adobe Flash Player и имеет цифровую подпись «Developer ID Application: Simon Max (GW6F4C87KX)». Данный загрузчик распространяется с использованием ресурсов партнёрской программы, ориентированной на монетизацию файлового трафика.

В ходе инсталляции вредоносная программа запрашивает права суперадминистратора операционной системы и последовательно обращается для загрузки главного окна приложения к трём управляющим серверам, адреса которых указаны в конфигурационном файле. В случае получения ответа зловред отсылает на управляющий сервер POST-запрос, содержащий конфигурационные данные загрузчика в формате JSON (JavaScript Object Notation), а в ответ получает HTML-страницу с содержимым демонстрируемого пользователю окна. Все дальнейшие GET- и POST-запросы установщик снабжает меткой текущего времени и цифровой подписью, формируемой по специальному алгоритму.

Затем установщик получает перечень приложений, которые будут предложены пользователю ПК под управлением OS X для инсталляции. В их число входит ряд опасных троянов, различные шпионы, а также другие нежелательные программы. 

Очередной Android-троян ворует деньги пользователей

«Доктор Веб» проанализировал новую вредоносную программу, с помощью которой злоумышленники опустошают счета пользователей устройств под управлением операционной системы Android.

Зловред получил обозначение Android.SmsBot.459.origin. Он распространяется посредством SMS-спама. К примеру, потенциальной жертве может прийти сообщение якобы от имени заинтересованного покупателя, откликнувшегося на размещённое ранее объявление о продаже чего-либо. В послании предлагается посетить некий веб-сайт для получения более подробной информации. Примечательно, что в некоторых случаях для большей убедительности киберпреступники обращаются к пользователю по имени, что говорит о хорошо спланированной таргетированной атаке, в которой применяется специально сформированная база реально существующих объявлений.

Если пользователь перейдёт по указанной в сообщении ссылке, на его устройство будет загружен apk-файл трояна. Однако вредоносная программа начнёт работу только в том случае, если пользователь самостоятельно её установит.

Зловред маскируется под клиентское приложение популярного в России сервиса по размещению объявлений и имеет соответствующий значок. Сразу после запуска троян пытается получить доступ к функциям администратора мобильного устройства, чтобы в дальнейшем осложнить попытки своего удаления. Примечательно, что вредоносная программа фактически вынуждает пользователя предоставить ей нужные права: она препятствует нормальной работе с Android-смартфоном или планшетом, блокируя его экран постоянно демонстрируемым запросом.

Далее троян передаёт на управляющий сервер сведения о зараженном устройстве, включая его IMEI-идентификатор и информацию об операторе. Затем программа осуществляет проверку наличия подключенной к телефонному номеру жертвы услуги мобильного банка нескольких кредитных организаций и выполняет запрос текущего баланса абонентского счёта, а также баланса учётной записи одной из популярных в России платёжных систем.

Троян может отсылать SMS-сообщения c заданным текстом на указанный номер, выполнять USSD-запросы, перехватывать SMS и пр. Таким образом, при наличии денег на каком-либо из имеющихся счетов пользователя киберпреступники могут незаметно украсть их, отдав соответствующее указание вредоносному приложению. 

Опасный троян получает root-доступ к Android-устройствам

Компания «Доктор Веб» предупреждает о появлении опасной вредоносной программы Android.Toorch.1.origin, поражающей мобильные устройства под управлением операционной системы Android.

Троян распространяется под видом приложения-фонаря. Инфицирование смартфона или планшета происходит только в том случае, если пользователь самостоятельно инициирует установку. Причём после инсталляции зловред функционирует как полноценная программа-фонарь, поэтому заподозрить какой-либо подвох довольно сложно.

После активации троян соединяется с управляющим сервером и загружает на него информацию о зараженном устройстве: время и местоположение, IMEI-идентификатор, сведения о наличии root-доступа и активного подключения Wi-Fi, версию ОС, данные о производителе и модели гаджета, тип сетевого подключения и пр.

Одновременно зловред пытается повысить свои системные привилегии до уровня root, для чего использует модифицированный злоумышленниками хакерский пакет com.apkol.root. В случае успеха вредоносная программа устанавливает в системный каталог /system/app приложение NetworkProvider.apk, которое содержит ещё один компонент трояна — Android.Toorch.2.origin. Этот модуль может сообщить злоумышленникам о своём успешном запуске, выполнить собственное обновление, загрузить на удалённый узел подробную информацию об инфицированном устройстве, включая его GPS-координаты, а также передать сведения об установленных программах.

Однако главная функция Android.Toorch.2.origin заключается в том, что по команде киберпреступников модуль способен загружать, устанавливать или удалять заданные приложения, при этом благодаря полученному ранее root-доступу все действия будут происходить без вмешательства пользователя зараженного устройства.

Зловред также содержит встроенную рекламную платформу, которая предназначена для отображения рекламы на экране инфицированных устройств каждый раз, как пользователь выполнит установку того или иного приложения.

Владельцам Android-устройств, пострадавшим от действий трояна, предлагается воспользоваться специальной утилитой для удаления всех его компонентов. 

Dr.Web для Android скачали 35 млн раз

Российская компания «Доктор Веб», специализирующаяся на разработке средств защиты информации, сообщила о новом рекордном достижении — количество скачиваний антивируса Dr.Web для Android и Dr.Web для Android Light превысило отметку в 35 000 000.

Dr.Web для Android скачали 35 млн раз

Как отмечает компания, Dr.Web является одним из самых популярных среди антивирусов для ОС Android, предлагаемых интернет-магазином Google Play. Причем география загрузок свидетельствует о популярности антивируса в разных уголках планеты — от США до Тайваня.

Хотя с момента преодоления 10-миллионного рубежа скачиваний Dr.Web прошло менее года, антивирус неоднократно модернизировали с учетом появления новых мобильных угроз. В мае этого года вышла восьмая версия Dr.Web для Android, основными особенностями которой является существенно увеличенная скорость сканирования для «многоядерных» смартфонов, поддержка ОС Android 4.2, а также возможность использования нескольких доверенных SIM-карт для Антивора.

Наиболее популярен Dr.Web для Android в России, Саудовской Аравии и Японии, далее в рейтинге следуют Украина, Турция, Тайвань и США.

window-new
Soft
Hard
Тренды 🔥