Накануне.RU
 Видео
  Новости партнеров SELECTORNEWS

Фотогалереи


Новости
24.10.2013 18:05 Екб
технологии
Эксперты: "Троян-вымогатель" Nymaim нашел новый способ распространения
размер шрифта: A A A   в блог   версия для печати

Эксперты: "Троян-вымогатель" Nymaim нашел новый способ распространения

"Троян" Nymaim, который блокирует компьютер и требует выкуп за расшифровку, получил новый способ распространения, сообщает антивирусная компания ESET.

Раньше заражение этим ПО осуществлялось при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода.

Однако недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.

С конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Эксперты ESET установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google.

Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. "темную поисковую оптимизацию" (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса.

Зараженные пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму "Барби и 12 танцующих принцесс" и т.д.

Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа.

В ходе исследования аналитики ESET обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Нетрудно догадаться, что их целью были пользователи из разных стран Европы и Северной Америки.

На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным – скорее всего, существуют пострадавшие и в других странах. Пользователь из любой страны может быть заражен.

Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150, однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться "всего лишь" 100 €, т.е. около $135. Нетрудно догадаться, что к пользователям из Соединенных Штатов киберпреступники испытывают наибольшую неприязнь.

Вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты.

Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 г. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

В этой связи эксперты ESET рекомендуют пользователям соблюдать осторожность, не запускать сомнительные архивы, регулярно осуществлять резервное копирование важных данных, а также использовать современные решения для обеспечения сохранности личной информации и защиты от интернет-угроз.

Другие новости по темам: троян, вирус, распространение, интернет, Google, антивирус


18:05 Екб |







Добавить комментарий:


К сожалению, сейчас комментарии не работают,
потому что мы проводим обновление системы.
Приносим свои извинения за доставленные неудобства.

  • Поиск
  • Архив



Загрузка



  • Котировки
  • Предприятия
$ - 63.1295   € - 71.3490
Поиск предприятия


Тип организации

Все предприятия
Новости партнеров



Рейтинг@Mail.ru
Наш проект  Наша команда 

© Институт Информационных Технологий г.Екатеринбург, ул.Степана Разина, 16
Накануне.TV свидетельство о регистрации СМИ ИА №ФС77-69183 от 24.03.2017г. выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций
Телефоны: (343) 295–15–36, 295–15–94, 295–14–38. E-mail: nm@nakanune.ru
Использование материалов агентства допускается только с согласия редакции.
Редакция не несет ответственности за содержание комментариев к материалам сайта. Комментарии к материалам сайта - это личное мнение посетителей сайта.
18+