За ваши зашифрованные файлы вирусописатель ответственности не несет
14 апреля 2017
Иногда кажется, что всё в этом мире переворачивается с ног на голову. В последнее время (и даже из уст некоторых экспертов в сфере ИБ!) стали слышны уважительные отзывы о сервисах злоумышленников, распространяющих троянцев-шифровальщиков. Говорят о внимательной техподдержке, гибкой ценовой политике, возможности тестирования расшифровки зашифрованных файлов и т. д. На фоне того, что далеко не все зашифрованные файлы можно расшифровать, такая репутация позволяет пользователям спать спокойно и с чистой совестью отказаться от увеличения затрат на антивирусную защиту, от обучения пользователей, от повышения квалификации системных администраторов. Ведь суммы выкупов (опять же, так говорят) – вменяемые, вероятность заражения – далеко не 100%, так что можно один раз заплатить и расслабиться.
Проблема в том, что далеко не все злоумышленники обладают квалификацией, позволяющей шифровать файлы с возможностью гарантированного восстановления. И не каждый из них может (и хочет) вкладывать средства в качественный «сервис». Более того: а зачем всем этим заниматься, если люди и так готовы платить?
Android.Locker.420.origin (по классификации Dr.Web) лишен функционала дешифрования. По словам специалистов Zscaler, в процессе анализа исходного кода вредоноса они не обнаружили функции, отвечающие за проверку транзакций или отправку SMS-сообщений. То есть жертвы вымогателя не смогут разблокировать свои мобильные устройства и восстановить данные даже в случае выплаты выкупа.
Интересно, что вирусописатели не просто требуют выкуп – они еще и пытаются шантажировать своих жертв.
После установки на системе вредоносное приложение ожидает четыре часа и затем начинает отображать всплывающие сообщения, запрашивающие права администратора. Даже если пользователь закроет уведомление, оно будет появляться до тех пор, пока вредоносная программа не получит требуемое. Далее вредонос блокирует экран устройства и отображает сообщение о том, что данные пользователя зашифрованы и для их восстановления требуется заплатить выкуп в размере 500 рублей. Кроме того, в уведомлении содержится угроза отправить SMS-сообщение компрометирующего характера всем контактам жертвы, если требуемая сумма не будет выплачена.
Эксперты, описавшие этого троянца, особо отмечают, что новый шифровальщик имеет функционал, направленный на обход систем обнаружения антивирусов. «Вымогателю удается обойти антивирусы благодаря использованию качественно обфусцированного кода и техники Java Reflection для его исполнения. Кроме того, четырехчасовое "окно" позволяет вредоносу избежать обнаружения антивирусными решениями, полагающимися на динамический анализ».
#Trojan.Encoder #троянец #шифровальщик #вымогательствоАнтивирусная правДА! рекомендует
Все просто: пользователи решений Dr.Web защищены от данной угрозы, а те, кто хочет платить, – могут восстанавливать свои данные с нуля. Это получается, по нашей статистике, не более чем в 10% случаев.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
04:44:38 2020-03-20
Toma
19:28:11 2018-11-08
Денисенко Павел Андреевич
13:40:44 2018-08-05
Неуёмный Обыватель
03:50:12 2018-07-05
alex-diesel
18:00:34 2018-04-11
зы главное в итоге - "пользователи решений Dr.Web защищены от данной угрозы" вот и славненько, ура, спасибо.
vasvet
20:56:33 2018-04-05
razgen
23:03:58 2017-11-19
maghan
11:01:37 2017-10-11
Инквизитор
11:52:49 2017-08-02
Littlefish
21:49:09 2017-06-03
Fokc
20:20:46 2017-04-15
AntonIT
13:01:28 2017-04-15
Юлия
11:20:10 2017-04-15
Альбина
09:06:00 2017-04-15
solec
23:09:05 2017-04-14
razgen
23:06:33 2017-04-14
Б...а
22:29:03 2017-04-14
Luger
22:20:04 2017-04-14
L1t1um
21:45:58 2017-04-14
НинаК
21:27:21 2017-04-14
iAFC
21:06:18 2017-04-14
ek
21:05:37 2017-04-14
a13x
20:56:08 2017-04-14
Геральт
20:54:45 2017-04-14
В...а
20:52:49 2017-04-14
vla_va
20:46:47 2017-04-14
С...й
20:34:11 2017-04-14
Dvakota
20:31:26 2017-04-14
Andromeda
20:26:13 2017-04-14
Альфа
20:05:29 2017-04-14
kva-kva
20:04:05 2017-04-14
mk.insta
19:49:25 2017-04-14
Шалтай Александр Болтай
19:40:27 2017-04-14
orw_mikle
19:18:25 2017-04-14
forrus
18:18:30 2017-04-14
m@ri
15:15:24 2017-04-14
eaglebuk
15:02:02 2017-04-14
SGES
13:21:52 2017-04-14
razgen
13:15:45 2017-04-14
"Как правило, авторы криптовымогателей разрабатывают свои программы с одной целью - получить финансовую выгоду, однако порой эксперты в области безопасности сталкиваются с довольно необычными представителями подобного ПО.
......Как сообщает издание BleepingComputer, восстановление данных возможно только в том случае, если пользователь наберет 0,2 млрд очков в игре TH12 - Undefined Fantastic Object. ...
... Вредонос отслеживает текущей счет и уровень в игре, при достижении результата в 200 млн очков он сохраняет ключ дешифрования на рабочем столе и инициирует процесс расшифрования."
http://www.securitylab.ru/news/485817.php?R=1
Но пользователям от таких шуток большие проблемы. Поэтому необходимо установить Dr.Web Security Space и настроить защиту от троянцев-шифровальщиков.
Alexander
12:48:22 2017-04-14
Конечно, компания DrWeb делает огромную работу для нашей безопасности. Но и нам надо ... нет, не буду повторять все известные "рекомендации", - ведите себя осторожнее, внимательнее и т.п. Единого железобетонного гарантированного рецепта нет, да и не может быть. Хотя, это и не отменяет рациональности следования этим рекомендациям. Спасибо Dr.Web Security Space, до сих пор Он не позволил "шифровальщикам" расстроить меня их присутствием. Смею предположить, что и дальнейшее наше взаимодействие с DrWeb будет успешным. И еще, пожалуйста, не забывайте свои пароли, которыми зашифровали свои файлы, иначе и в этом случае потери будут не менее обидными.
iiwanc
12:30:37 2017-04-14
stavkafon
11:48:57 2017-04-14
Влад
11:21:50 2017-04-14
Merovingen
10:50:21 2017-04-14
Если вдруг вымогательство стало нормой (и эксперты стали с уважением относится к таким пид@р@с@м).
Считаю, что данным злоумышленникам должны обрубить пальцы и выжечь на лбу коленным железом вымогатель...
Будет живой, но бесполезный!
GREII
10:33:28 2017-04-14
krant
10:20:26 2017-04-14
Maat
09:12:58 2017-04-14
npzarikov
09:10:26 2017-04-14
Rinat_64
08:41:24 2017-04-14
Ярославххх
08:38:46 2017-04-14