Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 21.04.2016, 08:10   #1027
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 609

kroxus вне форума

IT-безопасность-свежие новости.


Новый вымогатель CryptXXX не только шифрует файлы, но также ворует биткоины и пароли

Специалисты компании Proofpoint обнаружили нового криптовымогателя — CryptXXX. Впервые малварь была замечена в марте текущего года, ее распространял эксплоит кит Angler. Помимо обычных функций шифровальщика, CryptXXX похищает личную информацию своих жертв, их пароли, а также умеет воровать биткоины.

Вымогателя CryptXXX начал распространять известный эксплоит кит Angler. Если точнее: Angler заражал компьютеры жертв вредоносом Bedep, а тот, в свою очередь, обладает функцией скачивания дополнительной малвари. Попав в систему, Bedep скачивал на компьютер жертвы CryptXXX. Исполнение вредоносных DLL-файлов шифровальщика при этом происходит не сразу, эксперты пишут, что малварь начинает работать после рендомной задержки (к примеру, исследователи Proofpoint наблюдали задержку в 62 минуты).

После активации CryptXXX ведет себя стандартно для шифровальщика. Вымогатель шифрует данные, изменяя расширения файлов на .crypt и оставляет жертве послание с требованием выкупа в файлах de_crypt_readme.txt и de_crypt_readme.html. Также зловред подменяет аналогичным сообщением обои на рабочем столе пострадавшего. Как правило, вымогатель требует 1,2 биткоина, то есть около 34 000 рублей по текущему курсу.

Вредонос Bedep, как правило, поставляется с дополнительным компонентом для кражи данных, и, как оказалось, CryptXXX пошел по его стопам. Исследователи Proofpoint обнаружили, что шифровальщик также способен собирать информацию и учетные данные из мессенджеров, почтовых клиентов, FTP-клиентов и браузеров своих жертв. Более того, аналитики пишут, что малварь может «воровать биткоины», но не уточняют, каким образом CryptXXX это делает.

В конце своего отчета исследователи отмечают, что обнаружили подозрительное сходство между CryptXXX и старым вымогателем Reveton. Оба зловреда написаны на Delphi, оба используют отложенный старт, оба называют DLL-файлы сходным образом, а также используют кастомный протокол для работы с управляющими серверами через TCP 443. Кроме того, CryptXXX и Reveton не просто шифруют данные, но и похищают личную информацию и финансы жертв.

Специалисты Proofpoint полагают, что CryptXXX могла создать та же группа, которая стоит за разработкой самого эксплоит кита Angler, малари Bedep и вымогателя Reveton. Эксперты проводят аналогию с появлением шифровальщика Locky, который возник буквально из ниоткуда в 2015 году и за считанные недели стал одной из наиболее опасных угроз. Locky смог добиться результатов так быстро, в силу того, что он работает на базе инфраструктуры известного банковского трояна Dridex. Вероятно, авторы CryptXXX пытаются повторить эту «историю успеха», опираясь на Bedep, Angler и Reveton. CryptXXX уже распространяется быстрее среднестатистического шифровальщика, а сайт злоумышленников, через который жертвы должны оплачивать выкуп, переведен на одиннадцать языков, то есть планы операторов малвари весьма масштабны.

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика