Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (28)
  • добавить в избранное
    Добавить в закладки

Думают глобально, но действуют локально

Прочитали: 3152 Комментариев: 118 Рейтинг: 131

Осторожно! При обновлении бухгалтерского ПО «Медок» прилетает троянец и шифрует данные.

Казалось бы, в этом случае все ясно: либо взлом сайта и размещение вредоносного ПО, либо атака типа «человек посередине», либо обиженный сотрудник внутри компании. Но на самом деле все интереснее. Давайте разберемся.

Речь идет о сотнях жертв, 96% которых — украинские предприятия.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

https://ain.ua/2017/05/22/ukraincev-atakuet-novyj-virus-xdata

Очень часто в описаниях вредоносных программ встречается фраза о том, что они не работают на территории таких-то стран. Многие думают, что здесь дело в благородстве хакеров. Но это не так.

  1. Заработок на вредоносных программах – это в первую очередь возможность вывода средств. Как и где можно организовать сеть дропперов – людей, добровольно снимающих ворованные средства?
  2. Переводы средств за рубеж обычно находятся под особым вниманием соответствующих органов и ведомств – обычная борьба с коррупцией и выводом денег.
  3. Организация расследования с привлечением нескольких стран – дело достаточно муторное и куда более долгое, чем расследование в рамках одной страны.
  4. Сокращение списка атакуемых стран минимизирует вероятность обнаружения вредоносной программы. Ну а точечный список атакуемых еще более уменьшает вероятность обнаружения и снижает интерес СМИ.

Во всех известных случаях жертвами становились бухгалтеры. То есть, вирус нацелен на корпоративный сегмент.

#drweb

Такое сообщение оставляют злоумышленники на зашифрованном жестком диске.

Еще интереснее то, как влияет на популярность в СМИ способ распространения вредоносной программы.

Состоянием на пятницу, 19 мая, было подтверждено 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry. Таким образом, темпы распространения XData в четыре раза выше.

В 4 раза больше заражений – и где паника в СМИ? Как говорится, есть нюанс. WannaCry (Trojan.Encoder.11432) заражал в первую очередь крупные компании и частных пользователей, мало обращая внимание на мелкий бизнес. А вот описываемый в этом выпуске Trojan.Encoder.11526 побеспокоил совсем другие компании – и эффект налицо.

В итоге многие вредоносные программы ориентируются на работу с банками одной страны – теми, с банкоматов которых деньги будут снимать дропперы. Естественно, и по России ходят троянцы, рассчитанные, к примеру, на китайских пользователей, но толку от них для съемщиков денег может и не быть – только лишнее внимание.

Информация о вирусе начала появляться в сети с 18.05.2017 г., на следующий день после выхода обновления программы «M.E.Doc» - именно тогда, когда бухгалтеры Украины устанавливали последнее обновление. Как результат, у пользователей, которые заразились вирусом XData, также была повреждена программа «M.E.Doc». Это совпадение могло послужить поводом провести ассоциацию между вирусом и программой.

http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor

Один из системных администраторов пострадавшей компании сообщил: «Обновления M.E.Doc не было. Вечером машина работала, а с утра не стартанула».

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Вполне возможно, что на успех атаки повлиял правильный выбор ее времени. Выход обновления широко используемого ПО означает массовое обновление пользователей, на фоне которого еще одна активность еще одной программы останется незамеченной. Умный ход!

Самым главным вопросом относительно вируса остается способ его распространения. Как он точно попадает в систему остается неизвестным.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Одна из основных проблем безопасности – отсутствие контроля событий в локальной сети. В результате остается незамеченным не только факт проникновения, но и элементы вредоносного комплекса, обеспечивающие само проникновение.

#Trojan.Encoder #Windows #вознаграждение #выкуп #вымогательство #защита_от_потери_данных #расшифровка #троянец #шифровальщик #шифрование #обновления_антивируса #обновления_безопасности

Dr.Web рекомендует

  1. Прежде всего обновляйте антивирус, а затем – прочее ПО.
  2. Загрузка исполняемых файлов должна быть запрещена.
  3. Любой пользователь должен работать с ограниченными правами. Это снижает риск потери данных, открытых на чтение, и данных иных пользователей. Запуск программ и операций должен быть разрешен только для определенных пользователей.
  4. Запретите исполнение скриптов (макросов) в документах, если нет необходимости работы с ними.
  5. Если нет возможности разнести рабочее место бухгалтера, с которого имеется доступ к денежным средствам, и место работы с почтой и Интернетом, используйте виртуальные машины, разделив соответствующие задачи между ними.
  6. Для сотрудников бухгалтерии должна быть доступна система поверки контрагентов – никакие письма от неизвестных отправителей с «напоминаниями о долгах» не должны открываться без проверки наличия контрагента.
  7. Резервное копирование важных баз данных и документов на другие компьютеры и устройства должно проводиться регулярно.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: