Комментарии 27
А как происходит заражение? все стандартно письма в почту с исполняемым файлом?
Спасибо за актуальный вопрос. По распространению и заражению дополнительно задал вопрос в лабораторию (по описанию есть только предположения, что заражает не так, как обычные шифровальщики).
Как получу ответ, напишу.
Как получу ответ, напишу.
вот и я так предположил) жду ответа, что-то нынче активизировались шифровальщик. видимо доходная вещь и защиты нету во многих местах из-за экономии.
Получил ответ из лаборатории. Информация по распространению, указанная в статье подтвердилась:
1. Данный шифровальщик распространяется не через почту, а через наборы эксплойтов, которые поражают браузеры (попадают через зараженные сайты).
2. Уникальные, необычные особенности данного шифровальщика:
• Особенности в отображаемом сообщении: инструкция о том, как связаться с кибер-преступником, что необычно для шифровальщиков, потому что большинство из них хостятся в сети TOR;
• Нет текстовых строковых переменных (string) — они удалены для того, чтобы затруднить анализ;
• Файлы шифруются полностью (на 100%);
• Есть уникальные особенности внедрения шифрования в этой угрозе — достаточно оригинальные решения, которые ранее не встречались ни разу. Безусловно, авторы этого шифровальщика обладают очень высоким уровнем знаний в данной области.
Понятно, что в статье и дополнительных ответах не раскрываются все детали и особенности, чтобы другим не повадно было создавать аналогичные произведения.
1. Данный шифровальщик распространяется не через почту, а через наборы эксплойтов, которые поражают браузеры (попадают через зараженные сайты).
2. Уникальные, необычные особенности данного шифровальщика:
• Особенности в отображаемом сообщении: инструкция о том, как связаться с кибер-преступником, что необычно для шифровальщиков, потому что большинство из них хостятся в сети TOR;
• Нет текстовых строковых переменных (string) — они удалены для того, чтобы затруднить анализ;
• Файлы шифруются полностью (на 100%);
• Есть уникальные особенности внедрения шифрования в этой угрозе — достаточно оригинальные решения, которые ранее не встречались ни разу. Безусловно, авторы этого шифровальщика обладают очень высоким уровнем знаний в данной области.
Понятно, что в статье и дополнительных ответах не раскрываются все детали и особенности, чтобы другим не повадно было создавать аналогичные произведения.
спасибо. заражение через браузер — это огромный головняк.
Еще дополнения:
По поводу наборов эксплойтов. Заражение пользователя может осуществляться следующим образом:
• пользователь посетил вредоносный сайт
• пользователь посетил невредоносный сайт, но который был взломан и заражен или на этом сайте показывались вредоносные рекламные объявления, через которые мог загрузиться вредоносный эксплойт.
Т.е. получается, что сценарий заражения может быть таким: пользователь посетил какой-то сайт, откуда в скрытом режиме загрузился эксплойт. Далее через него уже в скрытом режиме загрузился троян, в котором был упакован шифровальщик. Все это происходит незаметно для пользователя.
Наши коллеги из PandaLabs продолжат анализировать шифровальщика, возможно, мы сможем узнать и какие-то другие способы распространения.
Кстати, в этом году ряд читателей сайта The New York Times оказались заражены также через вредоносные рекламные объявления.
По поводу наборов эксплойтов. Заражение пользователя может осуществляться следующим образом:
• пользователь посетил вредоносный сайт
• пользователь посетил невредоносный сайт, но который был взломан и заражен или на этом сайте показывались вредоносные рекламные объявления, через которые мог загрузиться вредоносный эксплойт.
Т.е. получается, что сценарий заражения может быть таким: пользователь посетил какой-то сайт, откуда в скрытом режиме загрузился эксплойт. Далее через него уже в скрытом режиме загрузился троян, в котором был упакован шифровальщик. Все это происходит незаметно для пользователя.
Наши коллеги из PandaLabs продолжат анализировать шифровальщика, возможно, мы сможем узнать и какие-то другие способы распространения.
Кстати, в этом году ряд читателей сайта The New York Times оказались заражены также через вредоносные рекламные объявления.
а да кстати, а как он ведет себя если подключеные сетевые диски примонтированные и нет? лезет на них? пытается зайти на еще какие то доступные ресурсы в сети?
Нельзя ли расширения заражаемых файлов сортировать по алфавиту? Глаза сломать можно, а Ctrl+F ищет по всей странице и может перекинуть например в самый низ.
И я не понял, в чем уникальность. Типа другие шифровальщики не инструктируют жертву как спасти свои файлы?
И я не понял, в чем уникальность. Типа другие шифровальщики не инструктируют жертву как спасти свои файлы?
Отсортированные расширения: 3ds 4db 4dd 7zip accdb accdt aep aes arj bpw cdr cer crp crt csv dbf dbx der doc docm docx dot dotm dotx dwfx dwg dwk dxf eml fdb gdb gho gpg gxk idx ifx iso jpg kdb kdbx key ksd max mdb mdf mpd mpp myo nba nbf nsf nv2 odb odp ods odt ofx p12 pdb pdf pfx pgp ppj pps ppsx ppt pptx prproj psd psw qba qbb qbo qbw qfx qif rar raw rtf saj sdc sdf sko sql sxc tar tax tbl tib txt wdb xls xlsm xlsx xml zip
Спасибо за информацию.
Для тех, кому сложно понять текст после перевода Magic Gooddy — ссылка на оригинал.
Для тех, кому сложно понять текст после перевода Magic Gooddy — ссылка на оригинал.
Вот интересно, хоть когда-нибудь хоть один из создателей шифровальщиков сядет?
А то как за пиратами с сачком гоняться и штрафовать их на триллионы долларов, так тут никогда проблем не возникает. Как закрыть очередную биткоин-биржу или торговую площадку, так правоохранительные органы на раз-два с этим справляются.
А вот в случае с шифровальщиками никакой реакции просто нету. Даже когда зашифровали данные на компах в каком-то полицейском управлении, и то не пытались создателей отловить, вместо этого спокойно выплатив деньги за расшифровку.
Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?
А то как за пиратами с сачком гоняться и штрафовать их на триллионы долларов, так тут никогда проблем не возникает. Как закрыть очередную биткоин-биржу или торговую площадку, так правоохранительные органы на раз-два с этим справляются.
А вот в случае с шифровальщиками никакой реакции просто нету. Даже когда зашифровали данные на компах в каком-то полицейском управлении, и то не пытались создателей отловить, вместо этого спокойно выплатив деньги за расшифровку.
Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?
Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?
Надеяться на правоохранительные органы РФ можно лишь в случае последней надежды, к сожалению.
Разрешите напомнить: «Спасение утопающих — дело рук самих утопающих — спасение утопающих — дело рук самих утопающих». (с) «Двенадцать стульев» (1928), гл. 34.
На мой взгляд обычного параноика, за систематическим увеличением количества шифровальщиков CryptoBit, кто-то настойчиво подталкивает обычных пользователей к ОБЯЗАТЕЛЬНОМУ резервному копированию данных.
Что-то я не понял суть статьи. Все шифровальщики-вымогатели показывают подобные сообщения.
Почему в статье не указано как защититься от этого зловреда, а также есть ли лекарство?
Все ли броузеры подвержены?
Все ли броузеры подвержены?
Рекомендация по защите одна:
поддерживайте Ваш антивирус или решение безопасности в обновленном состоянии и убедитесь, что у Вас имеются резервные копии Ваших самых важных файлов.
Лекарство от шифровальщиков — это расшифровка, которую делают (могут и не делать) преступники после получения оплаты…
Информации по уязвимости всех браузеров пока нет, но вопрос изучается в лаборатории.
поддерживайте Ваш антивирус или решение безопасности в обновленном состоянии и убедитесь, что у Вас имеются резервные копии Ваших самых важных файлов.
Лекарство от шифровальщиков — это расшифровка, которую делают (могут и не делать) преступники после получения оплаты…
Информации по уязвимости всех браузеров пока нет, но вопрос изучается в лаборатории.
Антивирусом не пользуюсь т.к. при пользовании им порядка 15 лет, толку не заметил.
последние 5-6 лет была пара тройка заражений, антивирус не помог. Последние 3 года сижу без антивирусов. делаю регулярно бекап и проверку сканером. Заражений пока нет.
Но ситуация когда можно заразиться зайдя на какойнить сайт неприятная. но на сколько я понял от последнего зловреда антивирусы пока не спасют?
последние 5-6 лет была пара тройка заражений, антивирус не помог. Последние 3 года сижу без антивирусов. делаю регулярно бекап и проверку сканером. Заражений пока нет.
Но ситуация когда можно заразиться зайдя на какойнить сайт неприятная. но на сколько я понял от последнего зловреда антивирусы пока не спасют?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый шифровальщик CryptoBit распространяется через наборы эксплойтов, поражающие браузер