Отключение DNSChanger отложено на 120 дней

Ксения Ренселаева 07 Марта 2012 - 20:09

...

Такое решение было принято федеральным судом США в понедельник вечером, поскольку к назначенному ранее сроку не удалось исцелить все инфицированные трояном DNSChanger компьютеры.

Отключение контрольных серверов DNSChanger планировалось на завтра – восьмое марта, однако правительством США было подано прошение в суд о необходимости переноса данного мероприятия, для того чтобы предоставить возможность компаниям и правительственным учреждениям удалить вредонос с инфицированных компьютеров.

Как известно троян, попадая в систему, изменяет настройки хоста персонального компьютера, перехватывает поисковые запросы жертвы и блокирует доступ к ресурсам, посвященным информационной безопасности, которые смогут оказать помощь.

Контроль за интернет- серверами DNSChanger после ареста эстонского хакера в ноябре был возложен на частную компанию. Однако тогда правительству США удалось убедить суд в том, что необходимо предоставить время интернет-провайдерам и правительственным учреждениям для идентификации и лечения всех зараженных компьютеров, иначе они могли быть отключены от Интернет. Тогда суд назначил дату ликвидации серверов на восьмое марта.

В начале прошлого месяца, по данным компании занимающейся вопросами информационной безопасности Internet Identity, более трех миллионов компьютеров по всему миру оставались инфицированы трояном, в том числе 500000 из них находились на территории США. Более того среди них были машины, принадлежащие 50% компаний из списка Fortune 500 и половине всех правительственных агентств США.

Но за последнее время федеральным службам удалось сделать огромный рывок по устранению эпидемии и уже две недели назад, судя по представленным данным, в 94 компаниях из Fortune 500 и в трех их 55 основных правительственных учреждений имелся хотя бы один зараженный компьютер или роутер. Вполне возможно, что предоставленного судом времени должно хватить для полного устранения этой заразы.

Важно отметить, что всем пользователям настоятельно рекомендуется проверить свой компьютер на наличие данной угрозы. Это можно сделать с помощью различных ресурсов. О том как проверить свой компьютер поклонникам систем Mac OS X подробно описано здесь.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Сентября 2025 - 09:31

Вирусы-вымогатели Вирусы-шифровальщики Целевые атаки Таргетированные атаки Корпорации Государство

Шифровальщик CyberVolk использует сбойный Nonce и губит данные навсегда

Исследователи AhnLab опубликовали подробный разбор нового семейства вымогателей CyberVolk, которое с мая 2024 года активно атакует госучреждения и критическую инфраструктуру. Главная особенность зловреда — невосстановимое шифрование, из-за которого вернуть данные практически невозможно.

По данным специалистов, группировка придерживается пророссийской позиции и выбирает в качестве целей страны, считающиеся «недружественными» к России.

В числе недавних атак — инфраструктурные и научные организации в Японии, Франции и Великобритании. Для связи злоумышленники используют Telegram.

Как работает CyberVolk:

запускается с повышением привилегий до администратора;
пропускает системные каталоги вроде Program Files и ProgramData, чтобы не «положить» Windows;
файлы получают расширение .CyberVolk;
применяется двухуровневое шифрование — сначала AES-256 GCM, затем ChaCha20-Poly1305.

Но тут скрыт главный «сюрприз». Разработчики допустили фатальную ошибку: при расшифровке программа использует неверное значение Nonce. Поскольку правильное значение нигде не сохраняется, даже наличие ключа не помогает. Восстановить файлы математически невозможно.

В конце атаки вымогатель оставляет записку READMENOW.txt и предлагает ввести ключ — всего три попытки. Но даже правильный ключ не сработает: алгоритм изначально «сломанный».

По сути, CyberVolk — это шифровальщик без обратного пути, который превращает данные в мусор.