Winlock по-белорусски

Компания ВирусБлокАда сообщает о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney.



Trojan.Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу с операционной системой и требуют перечисления денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение трояны-вымогатели получили зимой 2009—2010 года, когда по данным российских антивирусных компаний оказались заражены десятки тысяч компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на весну 2010 года, об этом говорит и количество обращений в службу технической поддержки нашей компании.


С точки зрения архитектуры программирования, Trojan.Winlock реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства.

Белорусский Winlock представляет собой исполняемый файл, написанный на языке высокого уровня Borland Delphi, упакован криптором на языке программирования Visual Basic. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений. После этого троянская программа завершает процесс explorer.exe (Рабочий стол) и taskmgr.exe (Диспетчер задач). В результате блокируется нормальная работа Windows как в обычном, так и в безопасном режиме.

Окно программы, блокирующее Рабочий стол Windows, сообщает о том, что:

«Ваш компьютер был заблокирован за просмотр, копирование и тиражирование видео материалов содержащих элементы педофилии и насилия над детьми. Для разблокирования компьютера Вам необходимо заплатить штраф в размере 100000 белорусских рублей через терминал для оплаты сотовой связи, или в любом салоне сотовой связи, либо в пользу нашего партнера WebMoney на счет ВXXXXXXXXXXXX (в разделе "Другое" или "Электронные деньги") В случае оплаты суммы равной штрафу либо превышающей ее на фиксированном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать". Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК Белоруссии. Статья 242.1 Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних. Наказывается лишением свободы на срок от двух до четырех лет, либо без такового.»

Следует отметить, что это — редкий случай появления именно «белорусского» троянца-блокировщика, требующего от пользователя перевести некоторую сумму на электронный кошелек WebMoney.


Код разблокировки троянца – 079156005

anti-virus.by

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Positive Technologies помогла устранить уязвимости в CENTUM

Эксперты Positive Technologies Наталья Тляпова и Иван Курнаков, специализирующиеся на безопасности АСУ ТП, нашли уязвимости в компоненте распределенной системы управления (РСУ) японской компании Yokogawa. Данную систему используют более 10 тысяч предприятий нефтегазовой, химической, энергетической сфер, водоканалы и компании других отраслей.

Уязвимости были найдены в компоненте CAMS for HIS, отвечающем за управление аварийными сообщениями и событиями в системе управления промышленного объекта.

Первая уязвимость (CVE-2020-5608 c оценкой 8.1 по шкале CVSS v3.0) связана с отсутствием аутентификации при взаимодействии по специализированному протоколу. Это позволяет неаутентифицированному пользователю взаимодействовать с сервером.

Вторая уязвимость (CVE-2020-5609 c оценкой 8.1 по шкале CVSS v3.0) позволяет выполнить выход за пределы каталога, что приводит к возможности перезаписи любых текстовых файлов, как являющихся ключевыми для штатной работы РСУ (например, файлы конфигурации), так и просто файлов, хранящихся на диске с системой. Такая возможность может привести к нарушению целостности информации, размещённой на атакуемом узле, а также выполнению произвольного кода.

«РСУ CENTUM широко распространена как на российских предприятиях, так и во всем мире. Наличие уязвимостей в любых компонентах АСУ ТП всегда опасно и может негативно отразиться на штатном режиме работы предприятия в целом. Возможность выполнения произвольного кода на сервере промышленного сегмента дает злоумышленнику широкие возможности для развития атаки дальше», — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Для устранения уязвимостей необходимо установить обновления, рекомендованные производителем. Также для выявления киберинцидентов и обнаружения уязвимостей в АСУ ТП компания Positive Technologies предлагает продукты PT Industrial Security Incident Manager (PT ISIM) и MaxPatrol 8, учитывающие особенности промышленных протоколов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru