Вымогатели теперь не только шифруют файлы, но и используются для DDoS

Александр Панасенко 20 Мая 2016 - 21:34

Общее

DDoS-атаки

Вредоносные программы

Трояны

Программы-вымогатели

Программы-шифровальщики

...

Вымогатели теперь не только шифруют файлы, но и используются для DDoS

Исследователь компании Invincea сообщает, что злоумышленники, похоже, догадались использовать зараженные шифровальщиками устройства для осуществления DDoS-атак. Так, новая версия вредоноса из семейства Cerber демонстрирует подозрительную активность, похожую на UDP флуд.

Икенна Дайк (Ikenna Dike) из Invincea пишет, что новая вариация Cerber, похоже, создавалась как многофункциональное решение, а не просто как еще один шифровальщик. После заражения устройства малварь вносит в систему изменения, позволяющие ей подменить пользовательский скринсейвер перманентным сообщением с требованием выкупа.

Но тогда как это достаточно стандартное поведение для вымогательского ПО, Cerber также продемонстрировал странную сетевую активность, массово обращаясь к большому пулу адресов, начиная с 85.93.0.0 и заканчивая 85.93.63.255.

Исследователь пишет, что код вредоноса прошел обфускацию, а некоторые куски, похоже, вообще были добавлены в код нарочно, чтобы сбить с толку аналитиков. Все это серьезно осложняет изучение вымогателя.

Дайк обнаружил, что вредонос способен создавать текстовые файлы, экспортировать их как файлы .vbs и затем выполнять. После того как скрипт был создан и запущен, появляется файл 3311.tmp, который, судя по всему, и является непосредственно шифровальщиком Cerber.

Кроме того, как уже было сказано выше, малварь подменяет скринсейвер сообщением о выкупе и обращается к подсети 255.255.192.0 (85.93.0.0 — 85.93.63.255). Вредонос создает шестнадцатеричный .tmp-файл, который постоянно запускает процесс explorer.exe. Процесс тоже создает ряд файлов .tmp и записывает их на диск. Судя по всему, эта повторяющаяся цепочка действий является дочерним процессом все того же 3311.tmp, сообщает xakep.ru. Исследователь отмечает, что файл dnscacheugc.exe на скриншоте ниже имеет тот же хеш, что и 3311.tmp, отличается только имя. Дайк полагает, что эта цепочка действий привязана к оригинальному лупу в VBscript.

«Наблюдаемый сетевой трафик выглядит как направленный на подсеть флуд UDP-пакетами через порт 6892. Используя спуфинг целевого адреса, хост может направить весь ответный трафик от подсети на жертву, в результате чего та перестанет отвечать», — пишет Дайк.

По мнению исследователя, рассматриваемый образец малвари, возможно, не полностью завершил процесс доставки пейлоада в систему, а это означает, что вредонос может быть способен и на другую опасную активность.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 16 Декабря 2025 - 16:06

Windows GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации Microsoft

В Сети появился скрипт, вырезающий Copilot и ИИ из Windows 11

Навязчивое продвижение ИИ в Windows и экосистеме Microsoft начинает раздражать всё больше пользователей. Copilot уже успел засветиться даже в заметках Apple App Store и добраться до телевизоров LG. Для части пользователей Windows 11 это стало перебором — и они всё чаще говорят о желании вернуть полный контроль над тем, что именно работает на их компьютерах.

На этом фоне в сообществе появился любопытный инструмент. Пользователь GitHub под ником zoicware выложил скрипт RemoveWindowsAI, который предназначен для радикального отключения ИИ-функций в Windows 11 на системном уровне.

В отличие от стандартных переключателей и скрытых настроек, скрипт действует жёстко. Он отключает связанные с ИИ ключи реестра, удаляет соответствующие файлы из системы и блокирует повторное появление компонентов при будущих обновлениях Windows. По сути, это попытка «вычистить» ИИ из ОС, а не просто спрятать его с глаз.

Список функций, которые затрагивает скрипт, довольно внушительный. В него входят Copilot, Recall, сбор данных о вводе и поведении при наборе текста, Copilot в Edge, Image Creator и другие ИИ-инструменты в Paint, AI Fabric Service, AI Actions, ИИ-поиск в настройках Windows, Voice Access с голосовыми эффектами и ряд других недавних нововведений Microsoft. Для тех, кто хочет более «классическую» Windows без ИИ-надстроек, этого набора более чем достаточно.

При этом скрипт отключает не всё. Например, Gaming Copilot и ИИ-функции OneDrive остаются нетронутыми — вероятно, из-за более глубокой интеграции или других механизмов доставки.

Авторы и пользователи инструмента сразу предупреждают о рисках. Работа с реестром и удаление системных компонентов могут привести к нестабильной работе системы, проблемам с обновлениями и непредсказуемым последствиям. Скрипт явно рассчитан на опытных пользователей, которые понимают, на что идут, и готовы брать ответственность на себя.

Тем не менее популярность RemoveWindowsAI хорошо отражает общее настроение: многие пользователи хотят выбора, а не принудительного внедрения ИИ. И по мере того как Microsoft всё активнее встраивает ИИ в свои продукты, сопротивление со стороны продвинутых пользователей, похоже, будет только усиливаться.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »