На фоне понижения температуры в ноябре наблюдалось повышение изобретательности интернет-мошенников, говорится отчете компании «Доктор Веб»
по безопасности за ноябрь. Антивирусные компании и пользователи
компьютеров столкнулись с новыми методами мошенничества, которые
используют технологии буткитов. Появились новые варианты
троянцев-шифровальщиков, на этот раз ориентированные на европейских
пользователей.
Загрузочный блокировщик Windows
В
ноябре получила распространение вредоносная программа Trojan.MBRlock.1,
которая незамедлительно была взята на вооружение интернет-мошенниками.
Данный троянец по своему функционалу существенно отличается от всех
известных до этого мошеннических вредоносных программ.
При
заражении системы программа обходит UAC (защитный функционал Windows),
поэтому установка в систему происходит незаметно. После установки
троянец прописывается в главную загрузочную запись и близлежащие сектора
жесткого диска.
В главной загрузочной записи жесткого диска
после заражения появляется код, который загружает информацию с соседних
секторов диска. Как следствие — на экран выводятся требования
злоумышленников заплатить за разблокировку системы $100.
В
сообщении в числе прочего говорится о том, что содержимое всех дисков
компьютера якобы зашифровано. Это не соответствует действительности.
В любом случае после факта заражения лечение из самой системы становится невозможным, т. к. она даже не начинает загружаться.
При
вводе верного пароля происходит восстановление исходного состояния
загрузочной области диска, и загрузка установленной операционной системы
происходит в обычном режиме.
В настоящее время известно
несколько модификаций Trojan.MBRlock.1, каждая из которых, тем не менее,
определяется антивирусом Dr.Web одинаково.
Для лечения системы необходимо ввести известные коды разблокировки: ekol или jail.
Новая версия троянца-шифровальщика
В
ноябре вновь напомнили о себе троянцы-шифровальщики. На этот раз авторы
данных вредоносных программ нацелились на европейских пользователей.
Trojan.Encoder.88
шифрует пользовательские документы многих популярных форматов по
алгоритму AES-256, что существенно затрудняет расшифровку. Так, для
полного перебора всех возможных ключей расшифровки в поисках того,
который необходим для восстановления файлов всего на одном зараженном
компьютере, потребуется 2^256 операций. Это превышает число, которое
можно записать как единицу с 77 нулями.
При этом для каждого
компьютера генерируется свой уникальный ключ шифрования, после чего он
шифруется по алгоритму RSA и сохраняется на диске в виде текстового
файла.
Интернет-мошенничество в ноябре: винлоки возвращаются
В
ноябре в бесплатную техническую поддержку для пользователей — жертв
интернет-мошенничества поступило около 4700 запросов, что составило
около 42% всех обращений. Среднесуточное количество обращений составило
146, что приблизительно на треть превышает аналогичный показатель в
октябре.
Основным типом мошеннических программ в ноябре снова
стало семейство Trojan.Winlock (73% обращений). Также заметным было
количество обращений по троянцам семейства Trojan.Hosts, блокирующим
доступ к популярным интернет-ресурсам.
В схемах монетизации
незаконных доходов интернет-мошенников также происходят изменения. Доля
вредоносных программ, требующих от пользователей отправить
СМС-сообщения, продолжает снижаться, а в ноябре количество обращений по
подобным программам составило 31% всех запросов.
С другой
стороны, злоумышленников все больше привлекает схема передачи денег от
пострадавших пользователей через отправку наличных денег посредством
терминалов на счета мобильных телефонов (60% всех обращений). При этом
если ранее злоумышленники использовали мобильные номера, принадлежащие
только одному популярному российскому сотовому оператору, то в течение
ноября на постоянной основе стали использоваться номера телефонов,
относящиеся к другому сотовому оператору, также российскому (49% и 11%
всех обращений соответственно).
|
Главная 
