McAfee создает сервис для оповещения о программах-шантажистах

...

Антивирусная компания McAfee на этой неделе запустила новую программу предупреждения интернет-пользователей о сетевых угрозах. Для программы Consumer Threat Alert уже работает персональный сайт и электронная рассылка. В компании говорят, что в данную рассылку в режиме реального времени будут направляться данные о тех или иных возникающих в сети угрозах и проблемах в том или ином программном обеспечении.

В McAfee рассказали, что значительная часть сервиса будет посвящена информации о разнообразных программах-шантажистах, которые под различными предлогами вымогают у пользователей деньги. Согласно данным статистики, в прошлом году объем выручки, который пользователи все-таки перечислили на счета интернет-вымогателей, превысил 300 млн долларов. В среднем размер транзакции с одного пользователя в прошлом году составил 50 долларов.

"Программы-шантажисты - это сейчас один из наиболее серьезных источников угрозы, именно здесь схемы работы наиболее изощренные, а их организаторы наиболее финансово мотивированы", - говорят в компании.

По словам независимых аналитиков, компании Symantec и McAfee, как два крупнейших производителя антивирусов и сервисов для защиты данных, за последние полгода инвестировали довольно крупные средства в создание информационных систем для пользователей. Согласно данным статистики Microsoft, за последние полгода жертвами программ-шантажистов стали около 4,5 млн компьютеров по всему миру. Всего более 200 000 сайтов распространяют разнообразные программы, шантажирующие пользователей. Значительная часть таких программ распространяется через сети Facebook и Twitter.

По данным McAfee, за последние два года число программ-шантажистов выросло на 660%, причем на 400% оно увеличилось только за последние полгода.

Источник 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый шифровальщик RedAlert атакует серверы Windows и Linux VMware ESXi

Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Цель злоумышленников — корпоративные сети.

На атаки указали исследователи из команды MalwareHunterTeam. В своём Twitter-аккаунте эксперты опубликовали несколько скриншотов сайта киберпреступников, на котором размещается информация об украденных данных.

Вредоносная программа, используемая в этой кампании, получила имя RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию “N13V”, согласно вытащенной из Linux-версии шифратора информации.

 

Эта версия криптора предназначена для атак на серверы VMware ESXi. Благодаря возможности взаимодействия с командной строкой злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. Список команд выглядит следующим образом:

-w Run command for stop all running VM`s
-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f File for encrypt
-r Recursive. used only with -p ( search and encryption will include subdirectories )
-t Check encryption time(only encryption, without key-gen, memory allocates ...)
-n Search without file encryption.(show ffiles and folders with some info)
-x Asymmetric cryptography performance tests. DEBUG TESTS
-h Show this message

При запуске вредоноса с параметром “-w” шифратор завершает работу всех виртуальных машин VMware ESXi с помощью следующей команды:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Кроме того, интерес вызывает функция RedAlert / N13V, которую вызывает параметр “-x”: зловред выполняет тестирование производительности асимметричной криптографии, используя разные наборы параметров NTRUEncrypt.

В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память:

  • .log
  • .vmdk
  • .vmem
  • .vswp
  • .vmsn

К зашифрованным файлам добавляется расширение .crypt658, RedAlert также оставляет в каждой директории записку с именем HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru