Криптолокеры — вымогатели нового уровня — Блог Лаборатории Касперского

• • • • • • • • • • • • • • • •

Гарантии! Качество! Отзывы!

▼▼ ▼▼ ▼▼ ▼▼ ▼▼ ▼▼ ▼▼ ▼▼ ▼▼

Наши контакты (Telegram):☎✍

>>>✅(НАПИСАТЬ ОПЕРАТОРУ В ТЕЛЕГРАМ)✅<<<

▲▲ ▲▲ ▲▲ ▲▲ ▲▲ ▲▲ ▲▲ ▲▲ ▲▲

ВНИМАНИЕ!

⛔ В телеграм переходить по ссылке что выше! В поиске фейки!

• • • • • • • • • • • • • • • •

Криптолокеры — вымогатели нового уровня — Блог Лаборатории Касперского

• • • • • • • • • • • • • • • •

ВАЖНО!

⛔ Используйте ВПН, если ссылка не открывается или получите сообщение от оператора о блокировке страницы, то это лечится просто - используйте VPN.

• • • • • • • • • • • • • • • •

вымогатели нового уровня — Блог Лаборатории Касперского Криптолокер Critroni не сохраняет на компьютере жертвы секретный.

Криптолокеры — вымогатели нового уровня — Блог Лаборатории Касперского

Годовая подписка на Хакер. Вымогатель CryptXXX был обнаружен в апреле года и быстро стал одним из самых активных семейств рансомвари. Вымогатель требует заплатить выкуп в долларов США за восстановление зашифрованных файлов на компьютере и позволяет жертве расшифровать один файл бесплатно. Если жертва не платит выкуп, через несколько дней запрашиваемая сумма удваивается. По всей видимости, новый зловред создали те же хакеры, что стоят за вымогателем Reveton. Из-за сходства векторов заражения и кода считается, что они также связаны с авторами и распространителями эксплоит-кита Angler. Исполняемый файл программы можно скачать в центре поддержки. CryptXXX — это файл. Другими словами, эта библиотека содержит файлы, к которым могут обращаться несколько программ одновременно. Ни в одной операции CryptXXX нет самостоятельных процессов. Все запускаемые зловредом исполняемые файлы — хорошо известные и подписанные Windows процессы. Это самый простой способ избежать песочниц и продвинутых инструментов защиты от угроз. Его применение говорит о том, что разработчики вредоносного ПО снова адаптировались к окружающей среде. CryptXXX dll использует процесс rundll32 — исполняемый файл Windows. Запуск в командной строке предельно прост — rundll Вызов имени библиотеки DLL происходит без вызова расширения. При этом имя функции выглядит несоответствующим. В реальности код зловреда запускается одновременно с загрузкой библиотеки DLL. Более того, бинарный код rundll Этот способ гениален в своей простоте: инструменты вроде диспетчера задач или приложения Process Explorer будут отображать название вредоносного процесса как svchost. Если мы посмотрим на свойства процесса, он будет выглядеть как исполняемый файл, подписанный Microsoft, — вот только эта подпись предназначена совсем для другого файла. Использования известных сигнатур и известных учетных записей пользователей для симуляции известных процессов будет достаточно, чтобы обмануть автоматические инструменты. Библиотеки динамической компоновки. Для их запуска необходим исполняемый файл. Большинство песочниц не умеют делать такую проверку и потому не смогут обнаружить новые образцы вируса CryptXXX. Хотя и этого уже достаточно, CryptXXX еще и не спешит. Зловред умеет откладывать свой запуск на долгий срок — больше чем на час. Такое выжидание поможет обойти большинство традиционных песочниц, которые работают только в течение нескольких минут и не возобновляют проверку после задержек. Сетевая активность, которая во многих случаях используется для обнаружения и блокировки ключевых обменов данными, здесь сведена до самого минимума, до двух запросов к удаленным серверам. Один из них адресован на совершенно неизвестный IP, который находится где-то в Германии. Судя по сообщениям о дешифровке и методу внедрения, которые характерны для Angler Exploit Kit, CryptXXX очень похож на TeslaCrypt, однако по своей сути эти зловреды сильно отличаются. TeslaCrypt Ransom Note Рис. TeslaCrypt — обнаружение сигнатуры SandBlast Agent. Вымогатель Tesla получил распространение в году и перенял множество моделей поведения от своего успешного предшественника CryptoWall, включая оформление окон с требованием выкупа, которые также используются в CryptXXX. Следующие типы поведения помогли поставщикам продуктов безопасности разработать защиту против вируса:. Хотя шифрование файлов некоторыми его версиями удалось повернуть вспять, авторы вредоносного ПО не собираются сдаваться. Судя по различным образцам кода, вымогатель продолжает развиваться, и мы еще не раз встретимся с ним. Уникальность Locky заключается в масштабах его распространения. За две недели после обнаружения аналитики Check Point выявили более тысяч журнальных записей, свидетельствующих о попытке заразить компьютеры их клиентов более чем в странах по всему миру. В сочетании с тем, что Locky имеет функцию шифрования сетевых ресурсов, последствия атаки этого зловреда могут быть разрушительными. Вирус Locky был впервые обнаружен 16 февраля года, когда, по данным аналитиков Check Point, произошла вспышка атак с его применением — более 50 тысяч попыток в день. В сентябре прошлого года, по данным отчета Check Point Threat Index, вымогательский зловред Locky впервые вошел в тройку самых опасных и популярных вредоносных программ в мире. Большинство жертв вируса Locky проживают в США. Следующие в списке стран по числу пострадавших — Канада и Франция. Locky шифрует файлы жертвы, а затем требует выкуп в биткойнах за их расшифровку. Главный способ заражения — электронные письма с вложенным документом Word, содержащим вредоносный макрос. Макрос запускает скрипт, который скачивает исполняемый файл, устанавливает его на компьютер пользователя, сканирует файлы системы и зашифровывает их. Также Locky распознает и собирает информацию на машине жертвы. Например, собираются следующие данные:. На сегодняшний день Locky по-прежнему распространяется среди ни в чем не повинных пользователей по электронной почте. Его инфраструктура развивается и поддерживается. Атака вируса часто начинается с письма, к которому приложен счет. Отправитель представляется сотрудником известной компании. В примере ниже письмо как будто бы пришло от Praxair Inc. Несколько сотрудников Check Point получили похожие электронные письма. Check Point SandBlast обнаружил и нейтрализовал вложение:. Check Point SandBlast Рис. Check Point SandBlast. Вложение содержит макрос, запуск которого пользователь должен разрешить вручную как правило, иначе текст документа был нечитабелен :. Разрешение макроса запускает скачивание вредоносного ПО, которое распознается как вымогатель Locky. Каждый вариант имеет свой собственный способ обхода обнаружения, некоторые из них используют разные типы файлов:. Давай разберемся, как работает Locky и что он делает. Первый этап — жертва получает электронное письмо с подозрительным вложением загрузчиком. Если жертва открывает вложение, скачивается вредоносный элемент Locky с удаленного сервера. Затем Locky подключается к своим C2-серверам для обмена ключами шифрования. Наконец, Locky шифрует определенные файлы только заданного типа и отображает классическое сообщение с требованием выкупа. По сравнению с более ранними вымогательскими кампаниями технология обфускации маскировка кода , применяемая в загрузчиках Locky, совсем не сложная — скорее наоборот. Некоторые примеры содержали один массив со строкой загрузки URL, зашифрованной в виде списка числовых значений пример будет ниже. В других в качестве метода маскировки кода использовался обычный пропуск символов с помощью JavaScript. Мы проанализировали имеющиеся образцы кода по тому, какое расширение файла они используют:. Shell object. Мы обнаружили достаточное количество URL, на которых размещаются вредоносы. Большинство этих хостов — зараженные русские сайты. Некоторые из них уже не существуют. Среди найденных нами шаблонов:. Последняя ссылка была обнаружена в замаскированном JS-загрузчике. Для того чтобы Locky мог зашифровать файлы жертвы, как минимум один из C2-серверов должен быть активен. Этот важный факт побуждает нас к поиску как можно большего числа C2-серверов — чтобы защитить наших заказчиков. Мы обнаружили сотни C2-серверов. Locky использует выделенную пару разных алгоритмов шифрования: один — для запросов к серверу, а другой — для расшифровки ответов. В обоих алгоритмах применяются битные ключи шифрования — очень слабые по сегодняшним меркам. На следующем рисунке мы отобразили алгоритмы запроса на шифрование EncryptRequest и отклика на дешифровку DecryptResponse. Locky может зашифровать ваши файлы, только если его C2-сервер активен. Теневые копии файлов не могут использоваться в качестве резервных — Locky их удаляет. Все подключенные диски будут зашифрованы, в том числе любые общие сетевые диски и съемные носители. Locky не привносит никаких новшеств в сферу программ-вымогателей, но он эффективен — как в создании огромных объемов вредоносного спама, так и в шифровании сетевых дисков. Дважды подумай, прежде чем разрешить макрос, — это действие может заблокировать все общие корпоративные диски. Вымогатель Cerber имеет сложный процесс внедрения и использует в своих атаках очень интересную тактику. Он действует всплесками, между которыми наблюдаются периоды относительно низкой активности. Мы обнаружили два таких пика активности Cerber — первый был в апреле, второй — в мае года. Каждый из всплесков собрал значительное число жертв, как показано на графике ниже:. Подобно Locky, Cerber распространяется через фишинговые письма с вредоносными вложениями. Как только пользователь открывает вложение, он подвергается атаке с применением методов социальной инженерии — его пытаются убедить в необходимости активировать встроенную в файл макрокоманду, которая запускает вирус. Cerber демонстрирует классическое поведение программы-вымогателя. Зловред создает свои копии в различных локациях и обращается к ним с различными параметрами. Атака запускается при помощи бинарных кодов Windows без всяких параметров. Это достигается за счет внедрения кода code injection в explorer. Затем Cerber использует другую распространенную тактику — загружает файл DLL. После того как процесс шифрования запущен, Cerber удаляет теневые копии для предотвращения восстановления файлов. Кроме того, вирус вносит изменения в процесс загрузки, чтобы лишить пользователя любой возможности восстановить свои файлы. Cerber отображает свое сообщение с требованием выкупа с помощью программ «Блокнот» стандартного приложения Windows и Google Chrome. Еще одна характерная черта вируса Cerber — завершив работу, он самоудаляется. Для обеспечения собственной устойчивости Cerber инициирует программу блокировки, которая препятствует любым попыткам деинсталляции. Cerber также запускает сетевой поиск, обращаясь к очень большому количеству IP-адресов, которые находятся преимущественно во Франции. Вся схема работы вируса Cerber, выявленная инструментом для отчета о проведенной экспертизе SandBlast Agent, представлена ниже. В июне прошлого года компания Avanan опубликовала пост о возможности заражения вымогателем Cerber через файл Microsoft Office с расширением. Как объяснили специалисты Avanan в своем блоге, атака производилась через файл dotm, который был разослан множеству пользователей в фишинговом электронном письме. Файл dotm — это шаблон документа Microsoft Word, в котором разрешено использование макроса. Этот тип файла был впервые внедрен в Office Далее приведено краткое содержание отчета о проведенной экспертизе вредоносного ПО. Выше мы видим увеличенное «дерево инцидента», построенное после того, как зловред закончил шифрование файлов в системе. Обрати внимание на количество процессов, выделенных голубым и серым. Это исходные процессы операционной системы Windows, которые используются вирусом для совершения атаки. Тот факт, что большинство современных вредоносных программ опираются в достижении своих целей на доверенные, легитимные процессы, заслуживает особого внимания. При открытии документа пользователю предлагается разрешить редактирование и разрешить содержимое разблокировать контент. Без разблокировки контента макрокоманда не может быть выполнена, а вирус не может продолжить свою работу. Как видно на изображении выше, при разрешении макроса он запускает интерпретатор командной строки в данном отчете — cmd. Эта команда также создает файл VBS Затем командная строка запускает команду wscript wscript. После создания Запуск файла с расширением tmp в виде процесса считается очень подозрительным действием Процесс Процесс с PID затем создает еще одну копию файла с собой в папке appdata под именем raserver. Это отмечается в качестве подозрительного события Executable Copies исполняемые копии. Затем вирус запускает процесс raserver. Следующий шаг — запуск командной строки с PID для удаления оригинального файла Эта задача решается вызовом taskkill. Точно так же все эти события отмечаются как подозрительные в схеме ниже:. В блоге MalwareBytes, в статье Cerber Ransomware — New, But Mature исследователи подробно рассказывают о том, как Cerber пытался обойти систему контроля доступа пользователей User Access Control, UAC , чтобы поднять уровень привилегий процессов, занятых в атаке. В частности, они показывают, как Cerber пробует запустить свою копию в проводнике Windows, а затем внедряет в эту копию код, который позволит ему использовать процессы операционной системы Microsoft Windows, чтобы обойти UAC. Однако в нашей лаборатории все попытки запуска Cerber с обходом UAC оказались безуспешными — в каждом случае мы получали предупреждение системы UAC. Новое сообщение UAC появлялось при каждой неудачной попытке обхода. После очередной неудачи Cerber пытался запустить новое окно проводника с другим выполняемым файлом ОС Windows см. Процесс raserver. Наша команда по обратному конструированию вредоносного ПО отметила, что исполняемые файлы, которые использовались для попыток обхода, имели манифесты со следующей информацией:. Мы ответили «да» на все запросы системы UAC, выждав некоторое время, — именно поэтому в отчете мы видим четыре запущенных процесса explorer. У процесса raserver. На рис. Именно процесс с PID шифрует все документы пользователя. Кроме того, этот процесс также пытается произвести удаление теневых копий обычная тактика вирусов-вымогателей через vssadmin. Наконец, зловред пытается внести изменения в загрузочные файлы с помощью службы bcdedit. Судя по всему, после того как Cerber определил, что все пользовательские файлы были зашифрованы, он удаляет вредоносные выполняемые файлы. Поэтому при перезагрузке системы мы не наблюдаем распространение заражения вредоносом. Однако фоновое сообщение рис. Техники, которые использует Cerber, — это классика вымогательского ПО, за исключением периодичности атак: такие «всплески» активности не очень характерны и могут ввести в заблуждение. Рекомендуем всегда быть готовым к возвращению этого зловреда. К сожалению, сегодня нет предпосылок для того, чтобы опасный тренд развития ransomware начал терять актуальность. Скорее наоборот: рост активности вымогательского ПО — одно из самых уверенных предсказаний на год. Войдите, чтобы ответить. Чтобы оставить мнение, нужно залогиниться. Xakep Кредитки в опасности. Логические баги. Активность вымогательского ПО ransomware в году находилась на рекордно высоком уровне, и об ее спаде в первом квартале го говорить не приходится. Эту статью мы решили посвятить самым популярным и злобным зловредам-вымогателям, особенно отличившимся в году. Мы разберем их устройство, поведение, обход песочниц и UAC, а также механизмы самозащиты. Другие статьи в выпуске: Xakep Смотри во все глаза Содержание выпуска Подписка на «Хакер». INFO В сентябре прошлого года, по данным отчета Check Point Threat Index, вымогательский зловред Locky впервые вошел в тройку самых опасных и популярных вредоносных программ в мире. Далее по этой теме Ранее по этой теме. Check Point: ботнет Necurs снова вернулся в список самых активных угроз Аналитики компании Check Point подготовили отчет о самых активных угрозах прошедшего ноябр…. Ботнет Necurs распространяет вымогателя Jaff со скоростью 5 млн писем в час Ботнет Necurs, простаивавший несколько месяцев в году, вернулся в строй с новой спам-…. За сутки злоумышленники разослали письма с шифровальщиком Locky 23 млн пользователей ИБ-специалисты обнаружили несколько спам-кампаний, которые распространяют шифровальщика Lo…. ИБ-эксперты предупреждают: шифровальщик Locky возобновил свою активность Шифровальщик Locky, активность которого практически сошла на нет в году, вернулся в с…. Загрузчик Hancitor вошел в пятерку самых активных вредоносных программ февраля Специалисты компании Check Point представили ежемесячный отчет Threat Index за февраль …. С новой версией вымогателя CryptXXX не справляются дешифровщики В апреле года исследователи компании Proofpoint первыми обнаружили нового на тот моме…. Впервые мал…. Третья версия шифровальщика Cerber снова разговаривает с пользователем Специалисты компании Trend Micro обнаружили новую, третью версию шифровальщика Cerber, кот…. Check Point: шифровальщик впервые попал в тройку самых опасных вредоносов Исследователи Check Point опубликовали список угроз минувшего сентября, и вымогатель Locky…. ZSasha Поддерживаю, картинки просто несмотрибельны!! Оставить мнение отменить Чтобы оставить мнение, нужно залогиниться. Последние взломы. Компьютерные трюки. Вопросы по материалам и подписке: support glc. Подписка для физлиц Подписка для юрлиц Реклама на «Хакере» Контакты.

Криптолокеры — вымогатели нового уровня — Блог Лаборатории Касперского

Бийск купить крек

Криптолокеры — вымогатели нового уровня — Блог Лаборатории Касперского

Купить Дурь Кореновск

Криптолокеры — вымогатели нового уровня — Блог Лаборатории Касперского

Купить курительные смеси и легальные миксы спайс