«Доктор Веб» сообщает об эпидемиях Trojan.Packed.1198 и Trojan.PWS.Panda.31

Компания «Доктор Веб» сообщает о резком росте в почтовом трафике за последнюю неделю количества спам-писем с приложенным архивом, в котором содержится вредоносная программа, определяемая антивирусом Dr.Web как Trojan.Packed.1198.

Исходное письмо, которое приходит пользователю, имеет яркий заголовок - «New anjelina jolie sex scandal». В теле письма находится приглашение открыть приложенный файл, в котором якобы находится порно-ролик. Стоит отметить, что данный прием широко распространен в современных спам-рассылках, однако последняя стала настолько массовой (более 50% всего инфицированного почтового трафика в пиковые часы по данным по данным сервера статистики компании «Доктор Веб»), что Trojan.Packed.1198 заразилось множество пользователей, как в России, так и по всему миру.

Архив, приложенный к письму, содержит установщик вредоносной программы на компьютер пользователя - anjelina_video.exe размером 44 032 байта. В свою очередь он содержит файл, определяемый Dr.Web как Trojan.MulDrop.17829. Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов (различные модификации Trojan.FakeAlert). В случае наличия их в системе, Trojan.MulDrop.17829 завершает работу и удаляет себя. Если же никаких признаков лжеантивирусов не обнаруживается, троянец принимается за активные действия.

Прежде всего, Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в нем используется упаковщик, схожий с тем, что используется в исходном файле. Также в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.

Активность трояна состоит в изменении настроек зон безопасности Windows, отключении предупреждения Windows об отсутствии антивируса, выключенном встроенном файерволле, а также обновлений. При этом встроенный файерволл также отключается. Затем троян удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на www.google.com. В конце концов, троян выводит сообщение о том, что компьютер инфицирован и предлагает скачать средство борьбы. Интересная особенность заключается в том, что он скачивает вредоносные файлы ещё до вывода сообщения о заражении системы пользователя.

Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября. С 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых Dr.Web как Trojan.PWS.Panda.31.

Компания «Доктор Веб» предостерегает всех пользователей от запуска вложений из писем, которые приходят с неизвестных адресов, и советует быть более бдительными к рассмотрению предложений вирусописателей. В случае установки антивируса Dr.Web на уже инфицированную систему, все угрозы Trojan.Packed.1198 будут оперативно нейтрализованы.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

WannaCry все еще лидирует по атакам среди других шифровальщиков

По оценкам аналитиков «Лаборатории Касперского», печально известный вымогатель WannaCry держит лидирующие позиции среди всех шифровальщиков, известных антивирусной компании. Такую информацию представители вендора предоставили в своем отчете «IT threat evolution Q3 2018. Statistics».

«Лаборатория Касперского» подсчитала количество атак WannaCry на компьютеры своих клиентов, а затем сравнила с процентным соотношением атак других программ-вымогателей. В итоге у компании получился следующий рейтинг:

  1. WannaCry — 28.72%
  2. (generic verdict) — 13.70%
  3. GandCrab — 12.31%
  4. Cryakl — 9.30%
  5. (generic verdict) — 2.99%
  6. (generic verdict) — 2.58%
  7. PolyRansom/VirLock — 2.33%
  8. Shade — 1,99%
  9. Crysis — 1.70%
  10. (generic verdict) — 1.70%

«Большое количество "generic verdicts" в этом топе говорит о том, что распространенные крипторы успешно детектируются автоматизированными системами. WannaCry (28.72%) все еще удерживает лидирующие позиции среди других программ-вымогателей», — пишет «Лаборатория Касперского».

Топ самых часто атакуемых вымогателями стран выглядит так:

  1. Бангладеш — 5.80%
  2. Узбекистан — 3.77%
  3. Непал — 2.18%
  4. Пакистан — 1.41%
  5. Индия — 1.27%
  6. Индонезия — 1.21%
  7. Вьетнам — 1.20%
  8. Мозамбик — 1.06%
  9. Китай — 1.05%
  10. Казахстан — 0.84%

Напомним, что в марте представители Boeing заявили об обнаружении следов кибератаки в своих системах, предположительно, в них замешан печально известный вредонос-вымогатель WannaCry, поразивший более 70 стран в прошлом году.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru