Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (23)
  • добавить в избранное
    Добавить в закладки

Хищник или жертва? Паразит на теле паразита!

Прочитали: 2955 Комментариев: 165 Рейтинг: 286

«Это моя корова, и я ее дою»

Крылатое высказывание кота Матроскина о праве собственности на добычу

Конкуренция среди вирусописателей всегда была велика. Заразить денежного и притом беспечного «лоха» – настолько привлекательная возможность, что на ее фоне о взаимовыручке в мире киберпреступности принято забывать.

Вредоносные программы, удаляющие обнаруженных на зараженном компьютере конкурентов и закрывающие уязвимости, через которые те могут проникнуть, – не редкость.

Получив от злоумышленников соответствующую команду, BackDoor.Ragebot.45 ищет в системе других троянцев, при обнаружении которых завершает их процессы и удаляет исполняемые файлы

http://news.drweb.ru/show/?i=11101

Trojan.Tofsee имеет модуль, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянцев и других вредоносных программ. Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.

http://news.drweb.com/show/?c=5&i=5813&lng=ru

Такая «забота» о пользователе вызвана вполне прозаическими мотивами: чем дольше тот не будет замечать вредоносную активность на своем компьютере, тем дольше сможет работать троянец.

Использовали вирусописатели и чужой код, и даже заставляли его создателей убирать свои творения с публичных серверов.

Исследователь информационной безопасности из Турции Ютку Сен (Utku Sen) создал и опубликовал «в научно-образовательных целях» две вымогательские программы – Hidden Tear и EDA2.

Не так давно хакеры путем шантажа заставили Сена удалить с GitHub программу Hidden Tear. Незадолго до того исследователь по своей инициативе убрал из открытого доступа все файлы, относящиеся к EDA2. Однако все, кто хотел — уже скачали себе исходные коды троянцев — на данный момент на их основе создано более двух десятков образцов вредоносного ПО, поскольку Сен разместил в открытом доступе как исходный код, так и подробные инструкции по его кастомизации, а также административную панель для вредоносного программного обеспечения.

https://securenews.ru/hidden_tear_3
https://securenews.ru/hidden_tear_eda2

Кстати, интересный момент. Оказывается, во всем виноват… известно кто!

Переговоры Сена и злоумышленников частично проходили на форумах сайта Bleeping Computer, частично в почтовой переписке. Вначале Сен категорически отказался принимать условия разработчиков Magic (на форумах они пишут под псевдонимом jeanclaudevandan).

Журналисты издания Softpedia сумели связаться с исследователем и попросили его пояснить свою позицию. Сен рассказал, что во всем виновата политика, Путин, ухудшение отношений между Россией и Турцией и, конечно, не обошлось без русских хакеров.

«Проверив их код, я обнаружил многочисленные заявления в поддержку Путина, написанные на русском. Думаю, они делают эти плохие вещи просто для того, чтобы во всем обвинили меня, ведь я турок. Похоже, все дело в политике, они и сами пишут об этом на форумах Bleeping Computer, — объяснил Сен. — Я пообщался с ними. Они утверждают, что вымогатель Magic был создан только ради того, чтобы я мог оценить их влияние в комьюнити. Они потребовали, чтобы я удалил Hidden Tear. Возможно, проект Hidden Tear вредил их бизнесу, потому что они сами продают шифровальщики. Они не назвали мне причин, поэтому я отказался. Потому что если я соглашусь на их требования, они потребуют чего-нибудь еще, раз все дело в политике. Я сделаю все, что смогу, чтобы расправиться с их модификациями [EDA2], ведь они все еще не нашли мой бэкдор».

https://xakep.ru/2016/01/27/magic-blackmail

Но вернемся к теме выпуска. Что делает доморощенный хакер, если заработать хочется, а подходящего исходного кода (с качественным алгоритмом шифрования, делающим невозможной расшифровку зашифрованных файлов) на руках нет? Конечно, становится еще и пиратом и крадет продукцию конкурентов!

Trojan.Encoder.10467 по классификации Dr.Web является взломанной версией шифровальщика, широко известного под именем Petya. Авторы Trojan.Encoder.10467 сумели обойти защитные механизмы, заложенные в исходном троянце, а также заменили ключи шифрования. Что логично, иначе для расшифровки пришлось бы обращаться к авторам «Петра».

Помогло ли это злоумышленникам? Проверка показала, что Trojan.Encoder.10467 детектируется эвристическими механизмами Dr.Web.

#вредоносное_ПО #троянец #шифровальщик #Trojan.Encoder #защита_от_потери_данных #технологии_Dr.Web

Dr.Web рекомендует

Для защиты от клонов во многих случаях достаточно заложенных в антивирусном решении эвристических механизмов, но полагаться только на них – нельзя. Следует вовремя сохранять свои данные с помощью функционала «Защита от потери данных», встроенного в Dr.Web Security Space, а также ограничить доступ к вредоносным сайтам с помощью Родительского контроля.

А в вашем Dr.Web включена и настроена «Защита от потери данных»?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: