Зловреды для Windows

Часто вирусописатели не утруждают себя ни шифрованием зловреда, ни сокрытием его взаимодействия. Однако находятся и те, кто не чурается нестандартных подходов. На примере троянца, обнаруженного нашими специалистами в середине марта, мы рассмотрим пример такого подхода — DNS-туннель в качестве линии связи с C&C-сервером.

В 2016 году киберпреступники охотились за крупной рыбой, но это не значит, что мелкая рыбешка может чувствовать себя в безопасности.

Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами.

События, которые формировали ландшафт информационных угроз в 2016 г., были связаны с мобильными и финансовыми угрозами, целевыми атаками и проблемами «Интернета вещей». В промышленном секторе происходили утечки данных и инциденты, связанные с заражением критической инфраструктуры.

Чтобы шифрование Polyglot выглядело как результат атаки CTB-Locker, вирусописатели создали с нуля практически полную копию CTB-Locker. Но мы нашли ошибки в реализации криптографической схемы Polyglot, и это позволило нам восстанавливать зашифрованные данные.

Отчет об эволюции угрозы, связанной с программами-вымогателями, охватывает двухлетний период, который для целей сравнения был разделен на два промежутка по 12 месяцев – с апреля 2014 г. по март 2015 г. и с апреля 2015 г. по март 2016 г.

Троянец Petya оказался необычным гибридом MBR-блокировщика и файлового шифровальщика: он препятствует не только загрузке ОС, но и нормальному доступу к файлам, расположенным на жестких дисках атакованной системы.

В феврале 2016 года интернет потрясла эпидемия нового троянца-шифровальщика Locky. Активность распространения зловреда не утихает и по сей день, продукты «Лаборатории Касперского» зафиксировали попытки заражения пользователей этим троянцем в 114 странах мира. Анализ образцов показал, что это абсолютно новый представитель класса вымогателей, написанный с нуля.

Вредоносное ПО в Бразилии поднялось с уровня простых клавиатурных шпионов до продвинутых инструментов удаленного администрирования. Бразильские киберпреступники и их «коллеги» из России обмениваются информацией, исходным кодом вредоносных программ и сервисами.

Недавно мы обнаружили новое семейство кроссплатформенных бэкдоров. Сначала мы получили вариант для Linux, а затем нам удалось найти вариант для Windows. Более того, версия для Windows была подписана действительной цифровой подписью.

В 2015 году у вирусописателей пользовались спросом эксплойты для Adobe Flash Player. Популярность программ-блокеров постепенно падает, а количество пользователей, атакованных программами-шифровальщиками, за год выросло на 48,3%. Все большая доля срабатывания антивируса приходится на «серую зону»: в первую очередь это различные рекламные программы и их модули.

Бразилия – одна из самых опасных стран для пользователей цифровых технологий. Чтобы понять, что происходит в бразильском киберпреступном подполье, предлагаем совершить путешествие в этот мир, изучить стратегию нападения киберпреступников и понять ход их мыслей.

После шифрования файлов на компьютере жертвы Trojan-Ransom.Win32.Shade не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C список адресов вредоносного ПО, а затем скачивает и устанавливает это ПО в систему.

«Индикаторы заражения» используются для эффективного применения данных об угрозах: выявления вредоносного ПО и оперативного реагирования на инциденты. Как администраторам информационных систем на практике использовать эти показатели?

Из-за большого числа желающих загрузить операционную систему Windows 10 компания Microsoft распространяет ее постепенно. Бразильские киберпреступники воспользовлись этой ситуацией и запустили вредоносную спам-рассылку, полностью повторяющую дизайн официальной страницы.