Троян Dimnie помогал шифровальщику Purga заражать системы

Олег Иванов 26 Июня 2018 - 18:40

Домашние пользователи

Лаборатория Касперского

Трояны

Вирусы-вымогатели

Вирусы-шифровальщики

...

Троян Dimnie помогал шифровальщику Purga заражать системы

Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию по распространению известного шифровальщика Purga. В результате анализа всей цепочки заражения выяснилось, что к установке зловреда имел отношение троянец Dimnie, который передавался через спам. Письма содержали вредоносное вложение или ссылку на вредоносный файл, в обоих случаях внешней оболочкой служил офисный документ – договор, платёжное поручение, инструкция и так далее. Целями хакерской атаки стали организации и частные лица в России.

Зловред Purga известен примерно с середины 2016 года, в зависимости от конфигурации он шифрует как сами файлы на компьютере жертвы, так и имена файлов. Троянец Dimnie, который использовался киберпреступниками при установке этого вредоноса, известен с 2014 года. Он был замечен в ряде атак как на обычных пользователей, так и на юридических лиц – в первую очередь финансовые организации.

В рамках анализа недавней кампании киберпреступников специалисты «Лаборатории Касперского» также выявили установку других вредоносных компонентов – троянца TeamBot и банковского троянца Buhtrap. Загружаемый Dimnie файл зловреда TeamBot представляет собой самораспаковывающийся RAR-архив.

Троянец отправляет на серверы злоумышленников такую информацию, как версия ОС, имя пользователя, модель процессора, объём оперативной памяти, установленный антивирусный продукт, наличие административных привилегий учётной записи. В результате заражения TeamBot скомпрометированная система оказывается открытой для удалённого доступа киберпреступников. Подключившись, они могут выполнять в ней любые действия – к примеру, загружать и запускать произвольные файлы.

«Как показала обнаруженная вредоносная кампания, злоумышленники распространяют шифровальщиков не только напрямую, например, через спам, но и посредством автоматической загрузки на компьютеры, ранее ставшие частью того или иного ботнета. Для предотвращения такого сценария заражения мы рекомендуем использовать надёжное комплексное решение, обеспечивающее многоуровневую защиту», – отметил Фёдор Синицын, старший вирусный аналитик «Лаборатории Касперского».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Взломан сайт аэропорта Пулково

Яков Шпунт 19 Сентября 2025 - 14:09

Атаки на сайты Взлом сайтов Кибервойны Целевые атаки Таргетированные атаки Общее

Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.

«Сайт аэропорта Пулково сегодня был взломан. Его работа на данный момент ограничена. Приносим извинения за временные неудобства. Ведутся работы по восстановлению», — сообщили в телеграм-канале Пулково.

Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.

«Взлом сайта — это не взлом компании. Да, подобные случаи заметны и сразу попадают в новости, но сам сайт — лишь точка входа. Если инфраструктура выстроена правильно, дальше дело не пойдёт. Обычно сайты размещаются в изолированной среде и имеют только необходимые подключения к внешним сервисам. Поэтому пока причин для паники нет», — прокомментировал ТАСС Сергей Полунин, глава группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Напомним, днём ранее сообщалось о сбое в работе авиакомпании «КрасАвиа», с большой вероятностью вызванном кибератакой.

В конце июля также произошла атака на «Аэрофлот», ответственность за которую взяли две проукраинские хактивистские группировки. Тогда были отменены несколько десятков рейсов.