Шифровальщик CryptXXX теперь распространяется через email

Security Vision NG VMУправление уязвимостями нового поколения с инвентаризацией активов, мультисканером, автопатчингом и харденингом для предотвращения и уменьшения поверхности атак→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Олег Иванов 18 Июля 2016 - 19:16

Домашние пользователи

Системы защиты данных от потери

Программы-вымогатели

Программы-шифровальщики

Социальная инженерия

...

Шифровальщик CryptXXX теперь распространяется через email

Один из самых популярных нынче шифровальщиков CryptXXX теперь использует спам-письма для распространения, предупреждают исследователи Proofpoint.

Ранее этот вид вымогателя распространялся, используя только связки эксплоитов. Когда CryptXXX был впервые замечен, он загружался на компьютер пользователя с помощью связки эксплоитов Angler, но вскоре злоумышленники перешли на новый комплект – Neutrino, в то время как Angler исчез из поля зрения. Однако в период с апреля по июнь активность комплектов эксплоитов снизилась на 96% и злоумышленники переключились на другие векторы атак.

На прошлой неделе была замечена первая кампания по распространению CryptXXX через email. Согласно исследователям Proofpoint, письма содержат вложения в виде документов, содержащих вредоносные макросы. При открытии такого документа на компьютер пользователя загружался и устанавливался вымогатель CryptXXX.

По аналогии с другими спам-кампаниями, злоумышленники полагались на социальную инженерию, чтобы заставить пользователей включить макросы во вредоносном документе. В теме письма указывалось «Security Breach - Security Report #123456789», а вложенные документы имели имена «info12.doc» или «i_nf012.doc». Цифры в теме письма и имена вложений генерировались случайным образом.

Исследователи Proofpoint сообщают, что вредоносная кампания получилась некрупной – были отправлены всего несколько тысяч писем. По мнению исследователей, это могло бы быть просто испытанием нового механизма распространения, а это значит, что большие по масштабам кампании могут ждать еще впереди.

Специалисты по безопасности утверждают, что CryptXXX находится в активной разработке. По их мнению, разработка может быть разделена на две ветви, одна их которых уже достигла версии 5.001, а вторая еще не была проанализирована.

В последние месяцы шифровальщик получил несколько нововведений, одним из которых является возможность добавления разных расширений к зашифрованным файлам: .Crypz и .Cryp1. На данный момент, исследователи обнаружили, что пользователи, пострадавшие от этих версий могут получить ключи дешифрования для своих файлов бесплатно.

CryptXXX удалось быстро занять свое место из-за его эффективного механизма распространения. Для специалистов не стало неожиданностью, что злоумышленники пробуют новые векторы. Насколько удачны будут эти векторы нам лишь предстоит увидеть.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Читайте также

Авиакомпании, СМИ и магазины: расширен «белый список» интернета

Екатерина Быстрова 18 Декабря 2025 - 19:48

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Авиакомпании, СМИ и магазины: расширен «белый список» интернета

В России расширили так называемый «белый список» сайтов и сервисов, которые продолжают работать даже в периоды ограничений мобильного интернета, вводимых по соображениям безопасности. В перечень добавили сразу несколько десятков новых ресурсов — от госорганов и СМИ до магазинов, авиакомпаний и сервисов повседневных услуг.

На новом этапе в список вошли, в частности, информационный ресурс «Итоги года с Владимиром Путиным», сайты Совета Федерации, МВД и МЧС, движение «Движение первых», а также авиакомпании «Аэрофлот» и «Победа».

Среди инфраструктурных и деловых ресурсов — «Россети», «Росатом Сеть зарядных станций», Московская биржа, оператор связи «Мотив» и портал по поиску работы HeadHunter.

Перечень пополнился и сервисами для повседневных задач: каршерингом «Ситидрайв», логистической компанией «Деловые линии», сетью ресторанов «Вкусно — и точка», онлайн-кинотеатром «Иви», а также крупными торговыми сетями — «ВкусВилл», «Ашан», «Спар», Metro и «Петрович».

Отдельный блок — средства массовой информации. В «белый список» включены как сайты и приложения федеральных телеканалов (Первый канал, НТВ, RT, ОТР, ТВЦ, ТНТ, СТС, «Пятый канал», «РЕН ТВ», «Пятница», «Домашний», «Муз-ТВ», «Мир», «Спас»), так и печатные издания и цифровые СМИ: «Аргументы и факты», «Российская газета», «Ведомости», «Московский комсомолец», а также приложение «Радиоплеер».

Кроме того, список продолжает расширяться за счёт региональных ресурсов. Ранее туда уже входили социально значимые сервисы в сферах здравоохранения, образования, транспорта и региональных госуслуг. Теперь к ним добавились сайты администраций субъектов РФ и дополнительные региональные платформы.

Напомним, что в «белый список» также входят сайты Президента и Правительства России, крупные маркетплейсы (Ozon, Wildberries), сервисы заказа такси («Яндекс», «Максим») и онлайн-кинотеатры («Кинопоиск», «Винк», Kion, Okko). Перечень формируется на основе предложений федеральных и региональных властей и согласовывается с органами, отвечающими за вопросы безопасности. Работа над его расширением продолжается.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.