Вымогатель HavanaCrypt распространяется под видом обновлений софта Google

Екатерина Быстрова 11 Июля 2022 - 17:06

Домашние пользователи

...

Исследователи из Trend Micro обнаружили новое семейство программ-вымогателей, которые авторы маскируют под приложение Google Software Update. Вредонос получил имя HavanaCrypt, у него есть ряд интересных особенностей.

Во-первых, HavanaCrypt проверяет наличие виртуальной среды и использует IP-адрес хостингового сервиса Microsoft в качестве командного сервера (C2). Это позволяет вымогателю уйти от детектирования.

Кроме того, как показал анализ Trend Micro, HavanaCrypt задействует пространство имён и функцию, которая ставит метод в очередь на выполнение, и использует во время шифрования модули менеджера паролей с открытым исходным кодом.

HavanaCrypt скомпилирован в .NET, а для обфускации применяет решение с открытым исходным кодом — Obfuscar. После выполнения вредонос прячет своё окно, а потом проверяет AutoRun на наличие записи “GoogleUpdate“ и продолжает работу, если такой записи нет.

Далее включаются методы антивиртуализации, состоящие из четырёх стадий:

проверка служб, связанных с виртуальными машинами;
проверка файлов, связанных с виртуальными машинами;
проверка имён файлов, являющихся исполняемыми в виртуальной среде;
проверка MAC-адреса устройства.

После того как все проверки пройдены, шифровальщик загружает файл “2.txt“ с веб-хостинга Microsoft, сохраняет его с расширение .bat и запускает. Этот файл содержит инструкции для встроенной антивирусной программы Windows Defender, согласно которым она должна игнорировать сканирование директорий “Windows“ и “User“.

Следующим шагом HavanaCrypt пытается завершить часть работающих процессов, принадлежащих Microsoft SQL Server и MySQL, а также Microsoft Office и Steam. Затем удаляются теневые копии и другой бэкап.

Потом шифровальщик копирует исполняемый файл в папки “ProgramData“ и “StartUp“ и устанавливает им значение «скрытый» и «системный». Файл в формате .bat добавляется в автозагрузку, он содержит функцию, отключающую Диспетчер задач Windows.

В процессе шифрования вредонос добавляет расширение “.Havana“ к пострадавшим файлам. Отсутствие записки с требованием выкупа натолкнуло специалистов Trend Micro на мысль, что шифровальщик всё ещё находится в стадии разработки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Октября 2025 - 14:38

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи Малый и средний бизнес

68% сотрудников российских компаний не знают об угрозе дипфейков

Платформа для онлайн-коммуникаций и обучения МТС Линк выяснила, что большинство российских работников не получают от работодателей никакой информации о мошенничестве с использованием дипфейков. По данным исследования, 68% опрошенных сообщили, что им ни разу не рассказывали о подобных угрозах.

Особенно редко эту тему поднимают в малых и микроорганизациях — о рисках дипфейков никогда не слышали 70% и 76% их сотрудников соответственно. В среднем и крупном бизнесе ситуация немного лучше, но всё же более 60% работников также остаются неосведомлёнными.

Из тех компаний, где об угрозах всё же говорят, половина делает это регулярно — хотя бы раз в квартал. В крупных организациях сотрудников информируют чаще (в 65% случаев) — для микропредприятий этот показатель не превышает 45%.

Обычно работодатели предупреждают о рисках на личных встречах (54%) или через внутренние сообщения и посты (41%). Лишь 34% компаний включают тему дипфейков в курсы по информационной безопасности. В микробизнесе системный подход встречается крайне редко — только 10% сотрудников узнали о дипфейках в рамках обучения.

Интересно, что, несмотря на риски, 60% россиян положительно относятся к контенту, созданному с помощью искусственного интеллекта. Среди молодёжи (18–34 года) таких ещё больше — 70%, тогда как среди людей старше 45 лет позитивно оценивают подобные видео и изображения лишь 49%.

Исполнительный директор МТС Линк Павел Потехин отметил, что развитие технологий создаёт всё больше способов злоупотребления корпоративными данными:

«Половина из десяти ключевых технологических трендов 2026 года по версии Gartner связана с защитой информации. И уже к 2028 году 80% нежелательных ИИ-действий будут происходить из-за внутренних нарушений. Поэтому системное обучение по кибербезопасности становится для бизнеса жизненно важным».

В опросе МТС Линк участвовали 1000 россиян из городов с населением более миллиона человек. Ранее аналитики компании выяснили, что 48% граждан вообще не знают, что такое дипфейк, хотя треть сотрудников крупных организаций уже сталкивались с мошенническими атаками, основанными на этой технологии.

Вымогатель HavanaCrypt распространяется под видом обновлений софта Google

Читайте также