Подтверждено: Azov — вайпер, стирает по 666 байтов данных за раз

Подтверждено: Azov — вайпер, стирает по 666 байтов данных за раз

Подтверждено: Azov — вайпер, стирает по 666 байтов данных за раз

Вредонос Azov, позиционируемый как шифровальщик, продолжает собирать жатву по всему миру. В Check Point Research проанализировали Windows-зловреда и выяснили, что в действительности это вайпер, уничтожающий данные и заражающий другие программы.

Лжешифровальщик Azov объявился в Сети в прошлом месяце. Его атаки отличаются тем, что для возврата заблокированных файлов злоумышленники предлагают через Twitter связаться с известными ИБ-экспертами — Александрой Донец (@hasherezade), Майклом Гиллеспи (@demonslay335), Лоренсом Абрамсом из BleepingComputer, командой MalwareHunterTeam.

Других контактов операторы зловреда не предоставляют, и вызволить данные обычным путем — через уплату выкупа — невозможно. В связи с этим Azov отнесли к деструктивным вредоносным программам и, как теперь выяснилось, попали в точку.

Проведенный в Check Point анализ показал, что выдаваемый за шифровальщика зловред на самом деле умышленно портит данные, перезаписывая содержимое файлов. Согласно настройкам, эта функциональность включилась 27 октября.

В комментарии для BleepingComputer эксперт ИБ-компании Иржи Винопал (Jiří Vinopal) пояснил, что вайпер перезаписывает файлы, работая в цикле над блоками по 666 байт, притом с пропусками. В итоговой структуре блоки, заполненные произвольными данными, чередуются с оригинальными: мусорный — исходный, мусорный — исходный и т. д.

Более того, вредонос внедряет в исполняемые файлы жертвы (64-битные) шелл-код, инициирующий стирание данных при каждом запуске безобидной программы. Исключения составляют экзешники, путь к которым включает следующие строки:

  • :\Windows
  • \ProgramData\
  • \cache2\entries
  • \Low\Content.IE5\
  • \User Data\Default\Cache\
  • Documents and Settings
  • \All Users

Зараженные таким образом файлы различаются по контрольной сумме. Полиморфизм в данном случае, видимо, используется для обхода антивирусов.

Доставка Azov пока осуществляется прежним способом — с помощью SmokeLoader. Намеки на украинское происхождение в названии зловреда и адресованной жертвам записке исследователи склонны считать ложным прикрытием.

Последние две недели число новых образцов на VirusTotal быстро растет; уровень детектирования вайпера на 8 ноября составляет 51/70. Очистка от инфекции потребует переустановки Windows. Не исключено, что после визита Azov в системе объявятся и другие зловреды, в том числе инфостилеры, поэтому потенциальным жертвам советуют сбросить все пароли к имейл и финансовым сервисам, а также позаботиться о сохранности прочей конфиденциальной информации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Депутат Госдумы перевёл 5,8 млн по просьбе «помощника президента»

Суд приговорил Д. В. Корякина, участника организованной группы телефонных мошенников, к шести годам лишения свободы с отбыванием наказания в колонии общего режима. Участники группировки действовали с территории Украины и представлялись высокопоставленными должностными лицами.

Как стало известно ТАСС, одной из жертв преступников стал действующий депутат Государственной Думы.

Согласно материалам дела, преступная группа была создана не позднее сентября 2017 года. В распоряжении злоумышленников оказались телефонные номера — как мобильные, так и стационарные — руководителей и сотрудников органов власти разных уровней, от регионального до федерального.

Мошенники выходили на связь с чиновниками по телефону и через мессенджеры, представляясь сотрудниками Администрации президента и других государственных структур.

Они просили срочно перевести средства якобы на лечение тяжело больных детей. Деньги поступали на счета, подконтрольные участникам группировки.

Корякин присоединился к группе не позднее января 2022 года. Его задачей было получение банковских реквизитов для вывода украденных средств. В одном из эпизодов он под угрозами вынудил женщину предоставить данные счёта, которые затем передал подельникам.

Этот счёт использовался для проведения мошеннической операции, жертвой которой стал депутат Госдумы. Преступник, выдавая себя за помощника президента РФ, убедил парламентария перевести 5,8 миллиона рублей на «лечение ребёнка». В качестве «доказательства» он предоставил фальшивое письмо на официальном бланке. Корякин получил 305 тысяч рублей от этой суммы.

Суд признал Корякина виновным в совершении мошенничества по части 4 статьи 159 УК РФ. Приговор — шесть лет лишения свободы. Попытки осуждённого обжаловать решение, ссылаясь на якобы незначительную роль в преступлении, успеха не имели. Приговор вступил в законную силу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru