Зловреды для Windows

В феврале 2016 года интернет потрясла эпидемия нового троянца-шифровальщика Locky. Активность распространения зловреда не утихает и по сей день, продукты «Лаборатории Касперского» зафиксировали попытки заражения пользователей этим троянцем в 114 странах мира. Анализ образцов показал, что это абсолютно новый представитель класса вымогателей, написанный с нуля.

Вредоносное ПО в Бразилии поднялось с уровня простых клавиатурных шпионов до продвинутых инструментов удаленного администрирования. Бразильские киберпреступники и их «коллеги» из России обмениваются информацией, исходным кодом вредоносных программ и сервисами.

Недавно мы обнаружили новое семейство кроссплатформенных бэкдоров. Сначала мы получили вариант для Linux, а затем нам удалось найти вариант для Windows. Более того, версия для Windows была подписана действительной цифровой подписью.

В 2015 году у вирусописателей пользовались спросом эксплойты для Adobe Flash Player. Популярность программ-блокеров постепенно падает, а количество пользователей, атакованных программами-шифровальщиками, за год выросло на 48,3%. Все большая доля срабатывания антивируса приходится на «серую зону»: в первую очередь это различные рекламные программы и их модули.

Бразилия – одна из самых опасных стран для пользователей цифровых технологий. Чтобы понять, что происходит в бразильском киберпреступном подполье, предлагаем совершить путешествие в этот мир, изучить стратегию нападения киберпреступников и понять ход их мыслей.

После шифрования файлов на компьютере жертвы Trojan-Ransom.Win32.Shade не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C список адресов вредоносного ПО, а затем скачивает и устанавливает это ПО в систему.

«Индикаторы заражения» используются для эффективного применения данных об угрозах: выявления вредоносного ПО и оперативного реагирования на инциденты. Как администраторам информационных систем на практике использовать эти показатели?

Из-за большого числа желающих загрузить операционную систему Windows 10 компания Microsoft распространяет ее постепенно. Бразильские киберпреступники воспользовлись этой ситуацией и запустили вредоносную спам-рассылку, полностью повторяющую дизайн официальной страницы.

TeslaCrypt 2.0 отличается от предшественников существенно улучшенной криптографической схемой, из-за которой в данный момент нельзя расшифровать затронутые TeslaCrypt файлы, и отказом от GUI в пользу HTML-страницы, причем скопированной у другого троянца – Cryptowall.

Несколько месяцев назад мы опубликовали пост о вредоносной программе CoinVault. Мы рассказали, как разобрали эту программу по кусочкам, чтобы добраться до ее реального, а не обфусцированного кода.

Создатели нового троянца-вымогателя применили как известные техники, «обкатанные» его предшественниками (например, требование выкупа в Bitcoin), так и абсолютно новые для данного класса вредоносного ПО решения. Использованная необычная криптографическая схема делает расшифровку файлов невозможной даже при перехвате трафика между троянцем и сервером. Этот троянец — опасная угроза и один из самых технологичных шифровальщиков.

Мы обнаружили новую вредоносную программу под названием ChewBacca» с функционалом обмена данными через сеть Tor. Продукты «Лаборатория Касперского» детектируют ее как Trojan.Win32.Fsysna.fej.

Мы решили составить короткий обзор наиболее заметных инцидентов, связанных с программами типа «Wiper»

На прошлой неделе «Лаборатория Касперского» выявила массовую рассылку фишинговых писем, написанных от имени ведущих антивирусных компаний.

Хотя PAC – это полезная функциональность, факты злоупотребления ею известны с 2005 г. Киберпреступники улучшили и усовершенствовали технологию таких злоупотреблений.