Необходимость исключает выбор, но лучший выбор тот, который вызван необходимостью.
Троян-вымогатель научился заражать пользователей через поиск Google
28.10.2013 16:23
Международная антивирусная компания ESET сообщает о новом
способе распространения троянской программы
Nymaim, которая может блокировать компьютер
пользователя с целью получения выкупа за
расшифровку.
С конца сентября 2013 года внимание экспертов
антивирусной лаборатории ESET привлекла уже
известная вредоносная программа Nymaim – троян
с функциями вымогателя. Раньше заражение этим
ПО осуществлялось при помощи известного
комплекта взломщиков-эксплойтов BlackHole,
которые использовали имеющиеся на компьютере
уязвимости приложений или операционной
системы для доставки вредоносного кода.
Однако недавно появилась информация о том,
что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали
использовать новый способ заражения пользователей.
Механизм заражения
С конца сентября было зафиксировано большое
количество обнаружений этой вредоносной
программы среди загруженных при помощи
браузера файлов. Эксперты ESET установили, что
реферальные ссылки, ведущие на загрузку
вредоносных файлов, принадлежат Google.
Это означает, что перед заражением
пользователь ввел в Google-поиск некий запрос и
кликнул на одну из ссылок в поисковой выдаче.
Согласно результатам исследования
веб-страниц, которые инициировали загрузку
вредоносного кода, для масштабного заражения
злоумышленники использовали т.н. «темную
поисковую оптимизацию» (Black Hat SEO), с помощью
которой продвигали специально созданные
вредоносные страницы в топ выдачи по
популярным ключевым словам.
Кликнув на такую ссылку в поисковой выдаче,
пользователь перенаправляется на
вредоносную страницу и инициирует загрузку
архива, название которого – для повышения
доверия пользователей – соответствует
введенному в строку поиска тексту. Т.е. один и
тот же архив будет загружен с разными именами,
в зависимости от поискового запроса.
Вот несколько примеров обнаруженных экспертами ESET названий одного файла:
Как можно видеть, в данном случае зараженные
пользователи искали программу-редактор
видео, учебник английского языка, образ игры
Donkey Kong, саундтрек к мультфильму «Барби и 12
танцующих принцесс» и т.д.
Так или иначе, загруженный под любым
названием вредоносный архив содержит
исполняемый файл, который после запуска
устанавливает в систему код Nymaim.
Win32/Nymaim заражает систему в два этапа. Попав на
компьютер, первый вредоносный файл
осуществляет скрытую загрузку и запуск
второго файла, который, в свою очередь, также
может загружать дополнительное вредоносное
ПО, а может и просто блокировать операционную
систему для получения выкупа.
Суммы выкупа
В ходе исследования аналитики ESET обнаружили
более десятка вариантов экрана блокировки,
созданных на разных языках и с различным
оформлением. Нетрудно догадаться, что их
целью были пользователи из разных стран
Европы и Северной Америки.
На данный момент обнаружены экраны
блокировки из Австрии, Великобритании,
Германии, Ирландии, Испании, Канады, Мексики,
Нидерландов, Норвегии, Румынии, Франции и США.
Однако, этот список не является окончательным
– скорее всего, существуют пострадавшие и в
других странах. Пользователь из любой страны
может быть заражён.
Интересно, что стоимость выкупа отличается
для разных стран. В большинстве из найденных
экранов блокировки цена выкупа составляет
около $150, однако пользователей из США просят
заплатить за разблокировку самую высокую
цену – $300 долларов; в Румынии же зараженный
пользователь может отделаться «всего лишь» 100
€, т.е. около $135. Нетрудно догадаться, что к
пользователям из Соединенных Штатов
киберпреступники испытывают наибольшую
неприязнь.
Итог
Вся активность трояна Win32/Nymaim осуществляется
в рамках кампании по распространению
злонамеренного ПО, в процессе которой
вредоносные Apache-модули заражают легальные
веб-сервера, что приводит к перенаправлению
пользователей на вредоносные сайты.
Эта кампания, называемая The Home Campaign,
продолжается с февраля 2011 года. По данным
независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.
В этой связи эксперты ESET рекомендуют
пользователям соблюдать осторожность, не
запускать сомнительные архивы, регулярно
осуществлять резервное копирование важных
данных, а также использовать современные
решения для обеспечения сохранности личной
информации и защиты от интернет-угроз –
такие, как решения ESET NOD32.
Обновленные персональные продукты ESET NOD32
Антивирус и ESET NOD32 Smart Security обеспечивают
защиту ПК от угроз, подобных Win32/Nymaim, благодаря
усовершенствованным механизмам
детектирования. Так, модуль «Расширенное
сканирование памяти» позволяет обнаруживать
даже сложные вредоносные программы,
использующие технологии многоуровневого
шифрования для скрытия своей активности.
Последний вышедший номер
Читайте в номере:
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.