Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Специалисты «Лаборатории Касперского» наткнулись на новую форму вредоносной программы, которая может инфицировать компьютер пользователя либо вымогателем, либо вредоносным майнером (зависит от конфигурации компьютера). Зловред получил имя Rakhni.

Исследователи уточняют, что первые образцы семейства Trojan-Ransom.Win32.Rakhni были впервые обнаружены в 2013 году.

Теперь же злоумышленники решили добавить к возможностям Rakhni вредоносный криптомайнинг. Попав в систему, новые варианты Rakhni принимают решение, чем заразить пользователя, исходя из конфигурации его компьютера.

Rakhni распространяется с помощью целевого фишинга, электронные письма содержат прикрепленный файл документа Word. В документах находится значок PDF, если на него нажать, запуститься вредоносный исполняемый файл.

В процессе выполнения вредоносная составляющая отобразит пользователя сообщение об ошибке, тем временем параллельно будут выполняться проверки на установленные антивирусные программы и песочницы.

Если вредонос понимает, что систему можно заразить, он выбирает между вредоносным майнером и вымогателем.

Rakhni будет проверять наличие папки %AppData%\Bitcoin, если она существует, вредоносная программа установит шифровальщик. Если же директории нет, а компьютер располагает двумя и более логическими процессорами, зловред загрузит майнер криптовалюты.

Rakhni располагает сертификатом, то есть каждый исполняемый файл подписан. Эти поддельные сертификаты якобы были выпущены Microsoft и Adobe. Эксперты также заметили, что вредоносная программа использует CertMgr.exe для установки поддельных сертификатов.

MAXимальная потеря: власти Новороссийска не смогли вернуть свой канал

Администрация Новороссийска сообщила о потере своего канала в мессенджере МАКС. По версии чиновников, ресурс взломали 15 июля, причём восстановить его уже невозможно. Подписчиков оперативно позвали в новый канал — старый, судя по формулировке властей, отправился в цифровую бездну окончательно.

История быстро вызвала вопросы. Всё-таки речь идёт о канале муниципальной администрации в российском мессенджере, а не о подпольной бирже секретных документов.

В комментариях пользователи иронизируют: раньше взламывали Telegram, теперь добрались и до МАКС.

Впрочем, версия со взломом оказалась не единственной. Краснодарский аналитик Андрей Гусий написал, что канал мог просто закрыться ночью без предупреждений, уведомлений и понятной причины. При этом, по его словам, опубликованный там контент едва ли нарушал законодательство.

Почему ресурс невозможно вернуть, тоже не объясняется. Гусий обратил внимание на странную конструкцию: отечественный мессенджер, отечественная администрация, а восстановить канал всё равно нельзя.

Пока власти не раскрыли ни подробностей атаки, ни данных о возможных злоумышленниках. Неизвестно также, получили ли посторонние доступ к переписке или публикациям.

В сухом остатке у Новороссийска теперь новый официальный канал, а у МАКС — крайне неудобный вопрос к надёжности. Потому что фраза «взломан без возможности восстановления» для административного ресурса звучит не как реклама цифрового суверенитета, а как его внезапный стресс-тест.

RSS: Новости на портале Anti-Malware.ru