Шифровальщик Mailto внедряется в Проводник Windows и обходит антивирусы

Екатерина Быстрова 05 Марта 2020 - 10:18

...

Шифровальщик Mailto внедряется в Проводник Windows и обходит антивирусы

Семейство программ-вымогателей Mailto (NetWalker) научилось внедрять вредоносный код в легитимный системный процесс Проводника Windows (Windows Explorer). Благодаря этой тактике шифровальщик успешно обходит детектирование антивирусными средствами.

Впервые исследователи в области кибербезопасности заметили Mailto в августе 2019 года. Имя вымогатель получил из-за расширения, которое он добавляет к зашифрованным файлам.

Углубившись в анализ вредоноса, эксперты пришли к выводу, что его авторы называют его иначе — «NetWalker». Также специалисты сообщили, что Mailto атакует не только обычных пользователей, но и стремится проникнуть в корпоративные сети, чтобы потом зашифровать все подключённые устройства.

Совсем недавно разработчики шифровальщика оснастили своё детище возможностью прятать код в процессе Windows Explorer. Для этого вредонос использует интересную методику: Mailto запускает процесс в режиме отладки, после чего использует специальный API вроде WaitForDebugEvent для внедрения вредоносного кода.

В результате совершенно легитимный системный процесс explorer.exe выполнит злонамеренную нагрузку. Исследователи из Quick Heal поделились скриншотом, на котором отчётливо видна инъекция кода вымогателя:

Далее Mailto создаёт объект автозапуска в реестре Windows и уничтожает все теневые копии, чтобы жертва не смогла восстановить зашифрованные файлы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.