За считанные недели троян-вымогатель CryptXXX претерпел значительные изменения. 26 мая специалисты компании Proofpoint обнаружили новый вариант вредоносной программы. В него, среди прочего, встроен модуль для кражи паролей под названием StillerX. Судя по всему, он появился в CryptXXX, начиная с версии 3.100.
StillerX использует тот же принцип действия, что и многие другие вредоносные программы, предназначенные для кражи паролей. Ему известны форматы баз данных, в которых распространённые приложения хранят пароли. Он отыскивает их, извлекает пароли, в том числе зашифрованные, и отправляет на сервер злоумышленников.
Список приложений, за паролями которых охотится StillerX, разнообразен. В нём, среди прочего, фигурируют популярные браузеры, менеджеры закачки, почтовые программы, клиенты FTP и VPN. Кроме того, модуль способен достать пароли из кэша WNetEnum и диспетчера учётных данных Microsoft (Credential Manager),
Специалисты Proofpoint отмечают, что судя по некоторым признакам, StillerX может использоваться не только в качестве составной части CryptXXX, но и отдельно от него.
Появление модуля для кражи паролей — наиболее важное, но далеко не единственное нововведение в очередной версии CryptXXX. Теперь эта программа способна заражать файлы не только на локальных, но и на сетевых накопителях. Интересно, что за минувшие недели такую возможность приобрела не только она, но и другие трояны-вымогатели.
Кроме того, разработчики CryptXXX передалали сайт, на который этот троян-вымогатель отправляет своих жертв. До недавних пор он заимствовал интерфейс у трояна CryptoWall.
Чтобы проверить, есть ли на компьютере CryptXXX с модулем StellerX, специалисты рекомендуют поискать на диске файлы stiller.dll, stillerx.dll и stillerzzz.dll. Если поиски увенчались успехом, то компьютер заражён, и надо что-то делать.
Усилиями российской киберполиции задержан учащийся Краснодарского кооперативного института, будущий специалист по ИС и программированию, который подозревается в создании самоходного Android-шпиона ClayRat.
Подобные дела обычно рассматриваются судами России в рамках статьи 273 УК РФ — создание, использование и распространение вредоносных программ (до семи лет лишения свободы).
Объявившийся минувшим летом в рунете Android-троян ClayRat распространяется через Telegram и поддельные сайты под видом популярных приложений. Доступ к вредоносу платный, клиентам предоставляется персональная панель управления, размещенная в специально созданном домене.
По данным кировских киберкопов, разработчик мобильного зловреда с этой целью суммарно зарегистрировал более 140 доменных имен.
Оперативно-разыскные мероприятия еще не закончены, полиция пытается выявить соучастников и другие эпизоды противоправной деятельности.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
