Подтверждено: Azov — вайпер, стирает по 666 байтов данных за раз

Подтверждено: Azov — вайпер, стирает по 666 байтов данных за раз

Подтверждено: Azov — вайпер, стирает по 666 байтов данных за раз

Вредонос Azov, позиционируемый как шифровальщик, продолжает собирать жатву по всему миру. В Check Point Research проанализировали Windows-зловреда и выяснили, что в действительности это вайпер, уничтожающий данные и заражающий другие программы.

Лжешифровальщик Azov объявился в Сети в прошлом месяце. Его атаки отличаются тем, что для возврата заблокированных файлов злоумышленники предлагают через Twitter связаться с известными ИБ-экспертами — Александрой Донец (@hasherezade), Майклом Гиллеспи (@demonslay335), Лоренсом Абрамсом из BleepingComputer, командой MalwareHunterTeam.

Других контактов операторы зловреда не предоставляют, и вызволить данные обычным путем — через уплату выкупа — невозможно. В связи с этим Azov отнесли к деструктивным вредоносным программам и, как теперь выяснилось, попали в точку.

Проведенный в Check Point анализ показал, что выдаваемый за шифровальщика зловред на самом деле умышленно портит данные, перезаписывая содержимое файлов. Согласно настройкам, эта функциональность включилась 27 октября.

В комментарии для BleepingComputer эксперт ИБ-компании Иржи Винопал (Jiří Vinopal) пояснил, что вайпер перезаписывает файлы, работая в цикле над блоками по 666 байт, притом с пропусками. В итоговой структуре блоки, заполненные произвольными данными, чередуются с оригинальными: мусорный — исходный, мусорный — исходный и т. д.

Более того, вредонос внедряет в исполняемые файлы жертвы (64-битные) шелл-код, инициирующий стирание данных при каждом запуске безобидной программы. Исключения составляют экзешники, путь к которым включает следующие строки:

  • :\Windows
  • \ProgramData\
  • \cache2\entries
  • \Low\Content.IE5\
  • \User Data\Default\Cache\
  • Documents and Settings
  • \All Users

Зараженные таким образом файлы различаются по контрольной сумме. Полиморфизм в данном случае, видимо, используется для обхода антивирусов.

Доставка Azov пока осуществляется прежним способом — с помощью SmokeLoader. Намеки на украинское происхождение в названии зловреда и адресованной жертвам записке исследователи склонны считать ложным прикрытием.

Последние две недели число новых образцов на VirusTotal быстро растет; уровень детектирования вайпера на 8 ноября составляет 51/70. Очистка от инфекции потребует переустановки Windows. Не исключено, что после визита Azov в системе объявятся и другие зловреды, в том числе инфостилеры, поэтому потенциальным жертвам советуют сбросить все пароли к имейл и финансовым сервисам, а также позаботиться о сохранности прочей конфиденциальной информации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

С 1 сентября под блокировку попадают не только спам, но и звонки компаний

С 1 сентября в России вступило в силу право абонентов отказываться от массовых обзвонов. Однако на практике это привело к неожиданным последствиям: под блокировку попадают не только навязчивые звонки с рекламой, но и обычные вызовы от юридических лиц. В результате многие компании и банки столкнулись с ограничениями при общении со своими клиентами, а часть сервисных звонков и уведомлений оказались недоступны.

Как сообщает «Коммерсантъ» со ссылкой на источники в бизнес-сообществе, операторы связи начали массово блокировать звонки клиентам. Под блокировку попадают даже сервисные вызовы, включая те, что совершаются банками.

«Сейчас нет официального определения "массового" звонка, и под запрет может попасть что угодно. Каждый оператор определяет и трактует это сам», — отметил один из собеседников издания.

В Минцифры уточнили, что под действие блокировок не подпадают звонки от органов власти и их подведомственных структур. Также в ведомстве отметили, что у операторов есть инструменты, позволяющие выборочно фильтровать звонки от компаний и индивидуальных предпринимателей. Массовые обзвоны там назвали главным инструментом мошенников и способом навязывания сомнительных услуг.

«Закон не разделяет массовые звонки на типы, поэтому при получении заявки мы обязаны заблокировать все звонки, которые идентифицируются как массовые», — пояснил представитель «МегаФона».

В Т2 сообщили, что предупреждают абонентов о возможных последствиях блокировок, включая ограничение полезных звонков. При этом случаи отмены блокировок в компании назвали единичными.

В «Т-Банке» признали, что блокировка затрагивает все голосовые вызовы. Для связи с клиентами приходится использовать встроенные сервисы IP-телефонии в мобильном приложении.

«В нынешнем виде закон несет огромные риски для всей исследовательской индустрии России. Телефонные опросы — не единственный метод, но именно они позволяют оперативно получать обратную связь от граждан», — заявил генеральный директор ВЦИОМа Валерий Федоров.

Старший менеджер практики кибербезопасности «ТеДо» Антон Мерцалов отметил, что массовая блокировка звонков ухудшает пользовательский опыт и повышает риск потери клиентов. По его словам, компаниям придется искать альтернативные каналы связи: веб-чаты, мессенджеры и push-уведомления в приложениях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru