Зловреды для Windows

В одной из предыдущих статей мы рассмотрели банкер NeutrinoPOS в качестве примера постоянно развивающегося и изменяющегося семейства вредоносного ПО. Спустя буквально неделю после публикации это ответвление от Neutrino само «произвело на свет» нового зловреда, классифицируемого продуктами «Лаборатории Касперского» как Trojan-Banker.Win32.Jimmy.

Не так давно мы рассказывали о новом семействе Linux-троянцев, использующих уязвимость в протоколе Samba — SambaCry. Спустя неделю нашим аналитикам удалось обнаружить зловреда для ОС Windows, созданного, по всей вероятности, той же группой, что несет ответственность за появление SambaCry.

Часто вирусописатели не утруждают себя ни шифрованием зловреда, ни сокрытием его взаимодействия. Однако находятся и те, кто не чурается нестандартных подходов. На примере троянца, обнаруженного нашими специалистами в середине марта, мы рассмотрим пример такого подхода — DNS-туннель в качестве линии связи с C&C-сервером.

В 2016 году киберпреступники охотились за крупной рыбой, но это не значит, что мелкая рыбешка может чувствовать себя в безопасности.

Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами.

События, которые формировали ландшафт информационных угроз в 2016 г., были связаны с мобильными и финансовыми угрозами, целевыми атаками и проблемами «Интернета вещей». В промышленном секторе происходили утечки данных и инциденты, связанные с заражением критической инфраструктуры.

Чтобы шифрование Polyglot выглядело как результат атаки CTB-Locker, вирусописатели создали с нуля практически полную копию CTB-Locker. Но мы нашли ошибки в реализации криптографической схемы Polyglot, и это позволило нам восстанавливать зашифрованные данные.

Отчет об эволюции угрозы, связанной с программами-вымогателями, охватывает двухлетний период, который для целей сравнения был разделен на два промежутка по 12 месяцев – с апреля 2014 г. по март 2015 г. и с апреля 2015 г. по март 2016 г.

Троянец Petya оказался необычным гибридом MBR-блокировщика и файлового шифровальщика: он препятствует не только загрузке ОС, но и нормальному доступу к файлам, расположенным на жестких дисках атакованной системы.

В феврале 2016 года интернет потрясла эпидемия нового троянца-шифровальщика Locky. Активность распространения зловреда не утихает и по сей день, продукты «Лаборатории Касперского» зафиксировали попытки заражения пользователей этим троянцем в 114 странах мира. Анализ образцов показал, что это абсолютно новый представитель класса вымогателей, написанный с нуля.

Вредоносное ПО в Бразилии поднялось с уровня простых клавиатурных шпионов до продвинутых инструментов удаленного администрирования. Бразильские киберпреступники и их «коллеги» из России обмениваются информацией, исходным кодом вредоносных программ и сервисами.

Недавно мы обнаружили новое семейство кроссплатформенных бэкдоров. Сначала мы получили вариант для Linux, а затем нам удалось найти вариант для Windows. Более того, версия для Windows была подписана действительной цифровой подписью.

В 2015 году у вирусописателей пользовались спросом эксплойты для Adobe Flash Player. Популярность программ-блокеров постепенно падает, а количество пользователей, атакованных программами-шифровальщиками, за год выросло на 48,3%. Все большая доля срабатывания антивируса приходится на «серую зону»: в первую очередь это различные рекламные программы и их модули.

Бразилия – одна из самых опасных стран для пользователей цифровых технологий. Чтобы понять, что происходит в бразильском киберпреступном подполье, предлагаем совершить путешествие в этот мир, изучить стратегию нападения киберпреступников и понять ход их мыслей.

После шифрования файлов на компьютере жертвы Trojan-Ransom.Win32.Shade не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C список адресов вредоносного ПО, а затем скачивает и устанавливает это ПО в систему.