Новости из мира вирусов

[ALENA]

Вымогательское ПО Fantom маскируется под обновление Windows

На данный момент какой-либо способ восстановления файлов без уплаты выкупа отсутствует.
Исследователь из AVG Якуб Кроустек (Jakub Kroustek) обнаружил очередное вредоносное ПО, созданное на базе проекта с открытым исходным кодом EDA2. По совам эксперта, Fantom отображает на экране зараженного компьютера поддельное окно обновления Windows, уведомляющее о том, что система якобы устанавливает критический патч. В то же время в фоновом режиме вымогатель незаметно шифрует файлы пользователя.
На данный момент какой-либо способ восстановления файлов без уплаты выкупа отсутствует. По словам Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, разработчики Fantom приложили максимум усилий, чтобы скрыть вредоносную активность вымогателя, замаскировав его под критическое обновление Windows. Для большей убедительности в свойствах файлах указано название «critical update».
После установления на системе жертвы Fantom извлекает и выполняет файл WindowsUpdate.exe, отображающий поддельный экран установки обновления Windows. Экран отображается поверх всех открытых пользователем окон и блокирует доступ к любой дугой программе. Избавиться от него можно, нажав комбинацию клавиш Ctrl+F4. Поддельный процесс установки обновлений завершится и Windows снова откроется в привычном виде, однако шифрование файлов все равно будет продолжаться.
Завершив процесс шифрования, Fantom отображает уведомление с инструкциями по восстановлению файлов и уникальным идентификатором, присваиваемым каждой жертве. Как сообщается в уведомлении, пользователь должен связаться с операторами вредоноса по указанной электронной почте и предоставить свой идентификатор. Далее ему следует оплатить «услуги» злоумышленников по расшифровке файлов, после чего он получит декриптор.

[ALENA]

Обнаружен троян, способный менять настройки прокси и перехватывать HTTPS-трафик

Вреднос модифицирует настройки прокси в реестре Windows и устанавливает сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик.
Эксперты компании Microsoft предупредили о появлении нового трояна, способного модифицировать настройки прокси-сервера, «прослушивать» зашифрованный трафик, похищать учетные данные, а также другую важную информацию.
Для распространения вредоноса, получившего название Trojan:JS/Certor.A., злоумышленники используют традиционные методы, в частности, спам-рассылку. Электронные письма включают вложение в виде документа Microsoft Word, содержащее встроенный объект OLE, при открытии которого запускается скрипт Jscript. Данный скрипт замаскирован под безобидный файл, не вызывающий подозрений у пользователя. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.
Оказавшись на системе, вреднос модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Кроме того, троян устанавливает еще один сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.
Далее весь трафик перенаправляется на подконтрольный атакующим прокси-сервер. В результате они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.

[ALENA]

Троян Betabot не только похищает пароли, но и загружает вымогательское ПО

Разработчики вредоноса используют эксплоит-кит Neutrino для его распространения.
Троян Betabot обзавелся новой функциональностью. Теперь вредонос способен не только похищать пароли, но и загружать вымогательское ПО Cerber на компьютер жертвы. По данным исследователей из компании Invincea, разработчики также изменили метод распространения трояна и сейчас используют эксплоит-кит Neutrino для его дистрибуции.
В конце июля нынешнего года эксперты зафиксировали ряд спам-кампаний, в ходе которых распространялась новая версия трояна. К электронным письмам прилагался документ Microsoft Word, содержащий макрос с вредоносными скриптами. При активации макроса на компьютер жертвы загружался скрипт, устанавливавший Betabot. После запуска троян похищал пароли электронной почты, а также пароли, сохраненные в браузерах, и отправлял информацию на C&C-сервер злоумышленников.
На втором этапе вредонос устанавливал и запускал вымогательское ПО Cerber. По словам эксперта Invincea Патрика Белчера (Patrick Belcher), это первый случай, когда троян, помимо кражи паролей, дополнительно устанавливает вымогательское ПО. Как считает Белчер, благодаря одновременному использованию многочисленных техник злоумышленники получают максимально возможную выгоду от компрометации компьютеров жертв.

[Dovf]

Троянец Gugi атакует Россию

Специалисты «Лаборатории Касперского» обнаружили мобильный банковский троянец Trojan-Banker.AndroidOS.Gugi.c, который умеет обходить встроенную защиту от фишинга и программ-вымогателей в ОС Android 6. Речь идет о таких обязательных механизмах обеспечения безопасности, как запрос приложением разрешения на отображение своего окна поверх других, а также на совершение звонков или отправление SMS. Зловред вынуждает пользователя предоставить ему все необходимые права, в противном же случае полностью блокирует устройство. Основную угрозу троянец Gugi представляет для пользователей в России – 93% атак были зафиксированы в нашей стране.

Цель Gugi – получить конфиденциальную финансовую информацию пользователей, например, учетные данные для систем мобильного банкинга или данные банковских карт. Для этого троянец перекрывает окно банковского приложения фишинговой версией, и все данные, которые пользователь вводит на поддельной странице, отправляются прямиком к злоумышленникам. С этой же целью Gugi перекрывает и окно официального магазина приложений Google Play. Чаще всего троянец попадает на устройство через SMS-спам с вредоносными ссылками. Сразу же после загрузки зловред просит пользователя предоставить ему разрешение на отображение своего окна поверх других. После этого вредоносная программа требует права на совершение все более опасных действий. При этом Gugi не оставляет пользователю никакого выбора – жертва троянца может только согласиться на все условия, нажимая единственную доступную кнопку «Разрешить».

Зловред Trojan-Banker.AndroidOS.Gugi.c является новой модификаций семейства банковских троянцев Gugi, известного с декабря 2015 года. Версия, умеющая обходить встроенную защиту Android, была впервые обнаружена в июне 2016 года. С тех пор число жертв троянца увеличилось почти в 20 раз и продолжает интенсивно расти. «Информационная безопасность – это бесконечная гонка. Разработчики программного обеспечения, в частности операционных систем, постоянно совершенствуют свои программы, стремясь сделать их максимально защищенными. Однако киберпреступники проявляют не меньшее рвение, пытаясь найти способы обхода новой защиты. Ну а эксперты по кибербезопасности, в свою очередь, делают все возможное, чтобы помешать злоумышленникам осуществить свои недобрые намерения. Обнаружение новой модификации банковского троянца Gugi как раз иллюстрирует всю эту ситуацию», – рассказал Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

[ALENA]

Обнаружен вирус, маскирующийся под Pokemon Go

"Лаборатория Касперского " обнаружила в официальном магазине приложений Google Play вредоносную программу, которая, прикрываясь именем популярной игры Pokemon Go, заражает устройства и получает над ними полный контроль.
Об этом говорится в сообщении "Лаборатории".
"По оценкам экспертов компании, жертвами зловреда, эксплуатирующего невероятно высокую популярность мобильной игры, потенциально могут стать более 500 тыс. пользователей - именно столько раз было скачано вредоносное приложение", - говорится в сообщении.
Приложение называется Guide for Pokemon Go, а вирус, который в нем содержится, получает права суперпользователя и способен загружать на устройство дополнительный вредоносные программы, а также показывать навязчивую рекламу.
Эксперты компании указывают, что обнаружить зловредный вирус достаточно сложно, так как он начинает работать не в момент запуска приложения, а позже, когда пользователь установит или удалит какое-либо другое приложение. При этом функционирование вируса не является полностью автоматическим процессом - он передает на сервер злоумышленников информацию о зараженном устройстве (страну, язык, модель устройства и версию операционной системы) и ждет ответа.
В случае одобрения, полученного от командно-контрольного сервера, вирус приступает к скачиванию, установке и запуску дополнительных вредоносных модулей.
"Таким образом, киберпреступники отбирают только интересующих их жертв, избегая тех пользователей, которые не попадают в их целевую аудиторию, и исключая из "выборки" возможные виртуальные машины", - отмечает "Лаборатория Касперского".
Эксперты имеют данные о более чем 6 тыс. подтвержденных заражений большей частью в России, Индии и Индонезии, отмечается в сообщении. В настоящее время приложение удалено из Google Play.
Об игре
Pokemon Go - массовая пользовательская игра, выпущенная в 2016 г., ее целью является поиск и обучение покемонов. В игру внедрены элементы так называемой дополненной реальности, где цифровой и реальные миры соединяются, поскольку картинка, отображаемая на экране смартфона, проецируется на объекты из реального мира.
В первый же месяц с момента запуска Pokemon Go принесла своим разработчикам более $200 млн выручки.

[ALENA]

Вымогательское ПО Donald Trump возводит стены вокруг файлов

Вредонос был обнаружен накануне дебатов Хилари Клинтон и Дональда Трампа.
Исследователь безопасности Лоуренс Абрамс (Lawrence Abrams) обнаружил вымогательское ПО Donald Trump, в настоящее время находящееся на стадии разработки. Вредонос был впервые скомпилирован более месяца назад и, возможно, не будет использоваться вовсе.
В Donald Trump предусмотрена функция шифрования файлов с помощью алгоритма AES, однако текущая версия пока не способна что-либо шифровать. Вместо этого она ищет  файлы в папке encrypt и шифрует их имена и добавляет расширение .ENCRYPTED.  В текущей версии для расшифровки файлов достаточно нажать на кнопку.
Абрамс обнаружил вредонос накануне первых дебатов Хилари Клинтон и Дональда Трампа, проходивших 26 сентября нынешнего года. Из любопытства исследователь решил поискать образцы вредоносного ПО, посвященного кандидатам в президенты США. Абрамс не нашел ничего, связанного с Клинтон, однако обнаружил находящееся на стадии разработки вымогательское ПО, названное в честь ее оппонента.

[ALENA]

Вымогатель DXXD меняет экран входа в Windows на требование о выкупе

Оказавшись на системе программа шифрует файлы на компьютере, добавляя к ним расширение .dxxd
В Сети появилось новое семейство вымогателей под названием DXXD, способным добавлять ключи в реестр Windows и менять экран входа на сообщение с требованием выкупа за восстановление зашифрованных файлов. Данное уведомление закрывается простым нажатием на кнопку «ОК», после чего пользователи могут авторизоваться в системе.
Первая версия вредоноса была обнаружена в конце сентября нынешнего года. Оказавшись на системе, программа шифрует файлы на компьютере, добавляя к ним расширение .dxxd. В начале октября исследователь Майкл Гиллеспи (Michael Gillespie) взломал алгоритм шифрования, используемый DXXD, и выпустил инструмент для восстановления зашифрованного вымогателем контента. Вслед за релизом утилиты автор DXXD создал вторую версию ПО - DXXD 2.0 с исправленным алгоритмом шифрования.
Вирусописатель также попытался сбить исследователей с толку утверждая, что инфицирование компьютеров жертв осуществляется при помощи RCE-эксплоита для уязвимости нулевого дня, присутствующей во всех версиях Windows, выпущенных в период с 1995 по 2016 годы. Однако по мнению основателя ресурса Bleeping Computer Лоуренса Абрамса (Lawrence Abrams), данное заявление не соответствует действительности, поскольку стоимость подобного эксплоита на черном рынке наверняка оценивалась бы в миллионы долларов, а сам инструмент мог бы использоваться для более серьезных атак, нежели для заражения низкопробным вымогательским ПО.
«Согласно полученной мной информации, я думаю, что разработчик вымогателя взламывает серверы, используя протокол удаленного рабочего стола (Remote Desktop Protocol) и подбирает пароли методом перебора», - отметил Абрамс, добавив, что жертвам DXXD стоит переустановить все пароли на инфицированном компьютере. 

[ALENA]

«Доктор Веб» обнаружил первого энкодера на Go

Компания «Доктор Веб» обнаружил первого энкодера на Go и разработала дешифровку, доступную только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Об этом 11 октября сообщается в блоге компании.

(открыть/скрыть)

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Как сообщается, Trojan.Encoder.6491 интересен тем, что он написан на разработанном компанией Google языке программирования Go: до этого вирусным аналитикам не встречались шифровальщики, созданные с использованием этой технологии.

При запуске Trojan.Encoder.6491 устанавливает себя в систему под именем Windows_Security.exe. Затем троянец начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES.

Троянец шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. В результате, например, файл с именем Test_file.avi получит имя VGVzdF9maWxlLmF2aQ==.enc.

Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin (см. скриншот вверху).

Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции.

[alexshuya]

Добрый день! Программа шифровальщик, кто сталкивался, смогли  ли расшифровать файлы?

[ALENA]

Программа шифровальщик, кто сталкивался,

шифровальщики тоже разные бывают .
alexshuya, что вы конкретно имеете в виду ? Что зашифровано ? Или заблокировано ?

[ALENA]

Новое вымогательское ПО маскируется под игру Click Me

Пока жертва тщетно пытается кликнуть на ускользающую кнопку, вредонос незаметно шифрует файлы на ее компьютере.
Современный рынок вымогательского ПО может похвастаться большим разнообразием. Вирусописатели словно соревнуются друг с другом в изобретательности, всячески «приукрашивая» свои творения. На днях исследователь безопасности Карстен Хан (Karsten Hahn) обнаружил очередной образец вымогательского ПО, маскирующийся под бесплатную игру Click Me.
После установки на систему жертвы вредонос отображает на экране кнопку с надписью «Click Me» («Кликни на меня»). Когда пользователь пытается навести на нее курсор, кнопка выскальзывает и перемещается в другое место. Пока игрок тщетно пытается поймать неуловимую кнопку, вымогатель в фоновом режиме шифрует хранящиеся на его компьютере файлы.
В настоящее время шифровальщик все еще находится на стадии разработки и лишен некоторого функционала. К примеру, пока что он может шифровать только контент в директории D:\ransom-flag.png. Вредонос использует алгоритм шифрования AES и добавляет к имени файла расширение .hacked.
Когда в попытках кликнуть на кнопку жертва нажмет на экран определенное количество раз или нажмет на Enter, появится уведомление с требованием выкупа. Сообщение содержит изображения активиста Anonymous в маске и надпись «You have been Hacked» («Вас взломали»). В уведомлении также присутствует текст на фарси с требованием оплатить выкуп за восстановление зашифрованных файлов. Еще одним свидетельством того, что вредонос находится в стадии разработки, является отсутствие каких-либо инструкций по оплате.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

[ALENA]

Обнаружен Windows-троян, питающий слабость к грузоподъёмным кранам

Специалисты антивирусной компании «Доктор Веб» обнаружили нового трояна, который используется злоумышленниками для осуществления таргетированных атак, нацеленных на российских производителей строительных кранов.
Вредоносное ПО, получившее название BackDoor.Crane.1, применяется для заражения компьютеров, работающих на базе Windows. Известно, по меньшей мере, о двух случаях использования трояна — в обоих целями были выбраны крупнейшие российские предприятия, занимающиеся изготовлением портальных и грузоподъёмных кранов. Проникнув в систему, троян ворует финансовые документы, договоры, деловую переписку сотрудников, а также с определённой периодичностью делает скриншоты и отправляет их на управляющий сервер злоумышленников. Эксперты полагают, что российские производители кранов стали жертвами недобросовестной конкурентной борьбы.
После запуска BackDoor.Crane.1 сканирует жёсткий диск инфицированного компьютера на предмет наличия конфигурационного файла и в случае отсутствия создаёт его. Затем троянец загружает в память свои модули и с заданной периодичностью начинает обращаться к управляющему серверу для получения команд.
Вредоносные программы для таргетированных атак встречаются не так уж часто. Так, в 2011 году «Доктор Веб» опубликовала отчёт о троянце BackDoor.Dande, который похищал данные у аптек и фармацевтических компаний, а спустя четыре года был обнаружен троянец BackDoor.Hser.1, нацеленный на оборонные предприятия.

[ALENA]

Преступники используют новый метод распространения трояна Fareit

Спам-сообщения содержат MHTML-документ, загружающий вредоносное ПО на компьютер жертвы.
Специалисты команды Cisco Talos обнаружили новую спам-кампанию по распространению вредоносного ПО Fareit, использующегося для эксфильтрации данных, например, хищения пользовательских паролей из браузеров.
О функционале Fareit уже известно довольно многое, однако в данном случае внимание специалистов привлек метод распространения трояна, а именно - необычный для подобных случаев формат вредоносного файла, прикрепленного к спам-сообщениям.
В частности, злоумышленники рассылали содержащие счета электронные письма, якобы от банка HSBC. К сообщению был прикреплен MHTML-документ (MIME HTML). MHTML - архивный формат web-страниц, используемый для комбинирования кода HTML и ресурсов, которые обычно представлены в виде внешних ссылок, в один файл.
MHT-файл использовался для загрузки расширения HTA, которое в свою очередь загружало Visual Basic-скрипт и вредоносное ПО Fareit.
Как стало известно ранее, операторы вредоносного банковского трояна Dridex также экспериментируют с методами распространения вредоноса. Если прежде троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то сейчас для рассылки спама злоумышленники используют скомпрометированные легитимные серверы.

[ALENA]

Вымогательское ПО Kangaroo блокирует доступ в Windows

Авторы Kangaroo взламывают и инфицируют целевые системы вручную при помощи Remote Desktop.
Разработчики вымогательского ПО Apocalypse и его вариаций Fabiansomware и Esmeralda выпустили новый криптовымогатель под названием Kangaroo. Основное отличие вредоноса заключается в том, что он не только шифрует файлы на компьютере жертвы, но и пытается блокировать пользователю доступ в Windows до тех пор, пока требуемая за восстановление файлов сумма не будет выплачена.
Согласно ресурсу BleepingComputer, сообщение с требованием выкупа отображается перед экраном логина, блокируя возможность входа в систему. Вредонос также останавливает процесс Explorer и предотвращает запуск «Менеджера задач». Обойти блокировку возможно при помощи загрузки операционной системы в безопасном режиме или при помощи комбинации клавиш ALT+F4.
В отличие от других вредоносов подобного рода, распространяющихся посредством наборов эксплоитов, скомпрометированных сайтов или спама, авторы Kangaroo взламывают и инфицируют целевые системы вручную при помощи Remote Desktop.
После запуска вредонос отображает уникальный идентификатор жертвы и ключ шифрования, который вирусописатели копируют. Далее Kangaroo приступает к шифрованию файлов на компьютере, добавляя к каждому имени файла расширение .crypted_file. Кроме того, вредонос создает отдельное требование выкупа для каждого зашифрованного файла. По окончании процесса Kangaroo отображает сообщение, уведомляющее пользователя о блокировке доступа к его данным.
В настоящее время восстановить файлы, зашифрованные Kangaroo, невозможно.

[agres]

ПРЕДУПРЕЖДЕНИЕ ВСЕМ! В течение ближайших нескольких дней не открывайте сообщение с вложением, озаглавленным "Открытка" независимо от того, кто послал его вам. Это вирус, который открывает открытку-образ, который «cжигает» вeсь жесткий диск с компьютера. Этот вирус будет получен от тех, кто имеет ваш электронной адрес. Отправьте этот файлl на все ваши контакты. Лучше получать это сообщение 25 раз, чем получить Вирус и открыть его. Если вы получите письмо под названием "ОТКРЫТКА", хотя оно было отправлено вам другом, не открывайте его! Выключите компьютер немедленно. Это худший вирус, объявленный CNN. Oн был классифицирован Microsoft как наиболее разрушительный вирус. Он был обнаружен McAfee вчера, и еще нет способа его удаления. Этот вирус просто разрушает нулевой сектор на жестком диске, где хранится важная информация.