Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Специалисты «Лаборатории Касперского» наткнулись на новую форму вредоносной программы, которая может инфицировать компьютер пользователя либо вымогателем, либо вредоносным майнером (зависит от конфигурации компьютера). Зловред получил имя Rakhni.

Исследователи уточняют, что первые образцы семейства Trojan-Ransom.Win32.Rakhni были впервые обнаружены в 2013 году.

Теперь же злоумышленники решили добавить к возможностям Rakhni вредоносный криптомайнинг. Попав в систему, новые варианты Rakhni принимают решение, чем заразить пользователя, исходя из конфигурации его компьютера.

Rakhni распространяется с помощью целевого фишинга, электронные письма содержат прикрепленный файл документа Word. В документах находится значок PDF, если на него нажать, запуститься вредоносный исполняемый файл.

В процессе выполнения вредоносная составляющая отобразит пользователя сообщение об ошибке, тем временем параллельно будут выполняться проверки на установленные антивирусные программы и песочницы.

Если вредонос понимает, что систему можно заразить, он выбирает между вредоносным майнером и вымогателем.

Rakhni будет проверять наличие папки %AppData%\Bitcoin, если она существует, вредоносная программа установит шифровальщик. Если же директории нет, а компьютер располагает двумя и более логическими процессорами, зловред загрузит майнер криптовалюты.

Rakhni располагает сертификатом, то есть каждый исполняемый файл подписан. Эти поддельные сертификаты якобы были выпущены Microsoft и Adobe. Эксперты также заметили, что вредоносная программа использует CertMgr.exe для установки поддельных сертификатов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Роскомнадзор ограничил использование VyprVPN и Opera VPN

С 17 июня в Рунете с подачи Роскомнадзора вводится запрет на доступ к сервисам VyprVPN и Opera VPN. Исключение составят лишь российские компании, использующие VPN в непрерывных технологических процессах.

По словам регулятора, эта мера принята в рамках реагирования на угрозы обхода ограничений доступа к запрещенному в стране контенту. Названные VPN-сервисы были причислены к таким угрозам в соответствии с постановлением правительства РФ № 127 от 12 февраля 2020 года.

В список организаций, на которые не распространяется запрет, уже включены 130 российских предприятий — по результатам ответов на запросы, направленные в соответствующие ведомства. Информация о возможности включения в белый список была опубликована на сайте РКН 14 мая.

О намерении Роскомнадзора вновь ограничить доступ к VPN-сервисам, игнорирующими его предписания, стало известно в конце мая. Каким образом будет осуществляться блокировка VyprVPN и Opera VPN, пока неизвестно, однако такой опыт у регулятора уже имеется.

Напомним, в 2018 году РКН заблокировал 80 VPN и прокси, открывавших доступ к опальному на тот момент мессенджеру Telegram. Правда, результат тогда оказался неожиданным: россияне начали активно пользоваться зарубежными сервисами, в том числе VyprVPN, и те хорошо на этом заработали.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru