Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (23)
  • добавить в избранное
    Добавить в закладки

Страшен ли кролик, как его малюют?

Прочитали: 2058 Комментариев: 85 Рейтинг: 96

Среда, 25 октября 2017 года — день, когда все СМИ трубили о новой эпидемии шифровальщика, гадали об авторстве атаки на Россию, Украину и Германию, судили и рядили о переделе антивирусного рынка и многом другом. Для начала давайте посмотрим, что представляет собой DPH:Trojan.Encoder.32, в просторечии — Bad Rabbit.

Прежде всего о методе распространения. Злоумышленники взломали несколько новостных сайтов (по сообщениям СМИ, пострадали «Фонтанка» и «Новая газета»), внедрили JavaScript. В общем и целом ничего особенного — как мы уже неоднократно писали, более 80% сайтов уязвимы для взлома. Вредоносный код в принципе может быть внедрен на саму страницу и в используемые скрипты, а также подгружен с иного ресурса в момент загрузки взломанной страницы. Вариантов много.

Мы неоднократно предупреждали о том, что взлом сайта, посещаемого некой целевой группой, может стать очень эффективной атакой, тем более если вредоносный код будет размещен непосредственно перед моментом максимальной посещаемости ресурса — скажем, в конце рабочего дня.

#drweb

http://blog.ptsecurity.ru/2017/09/web-apps-attacks-2017.html

В ходе этой атаки в момент посещения сайта пользователю предлагалось установить обновление для Flash Player. При этом пользователь должен сам (сам, Карл, сам!) кликнуть на кнопку Install и тем самым запустить дроппер.

Сразу возникает несколько вопросов.

  • Вопрос 1. Что делают сотрудники отчитавшихся о заражении компаний (в том числе банковских) на новостных сайтах в рабочее время? Вполне понятно, что есть сотрудники, которым по должности положено быть в курсе новостей, но почему тогда их компьютеры находятся в общей корпоративной сети, в которой расположены критически важные ресурсы компании?
  • Вопрос 2. Почему пользователь имеет право установки новых приложений?
  • Вопрос 3. Почему в браузере не отключены JavaScript'ы?

Три вопроса. Если бы таких возможностей не было — никакой эпидемии кролика тоже не было бы. DPH:Trojan.Encoder.32 не использовал для проникновения никаких уязвимостей — все делал за него пользователь.

Напоминаем, что троянские программы (а DPH:Trojan.Encoder.32 это именно троянец) не могут распространяться сами — их распространяют пользователи своими действиями.

По имеющимся данным, DPH:Trojan.Encoder.32 не использует никаких методов обхода UAC. Пользователь сам соглашается на запуск нового приложения.

  • Вопрос 4. Использовался ли в пострадавших компаниях UAC или он был отключен как надоедливый?

    DPH:Trojan.Encoder.32 после запуска проверяет наличие процессов dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe — то есть при наличии Dr.Web он пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.

    Кроме этого, DPH:Trojan.Encoder.32 пытается модифицировать главную загрузочную запись жесткого диска (MBR). Эта операция блокируется антивирусом Dr.Web.

  • Вопрос 5. Почему у пользователей не установлен современный антивирус, имеющий механизмы превентивной защиты, контролирующей работу запущенных процессов и обнаруживающей вредоносные программы, еще не поступившие на анализ в антивирусную лабораторию? Сколько раз можно говорить, что «просто» антивирусы, полагающиеся только на антивирусное ядро, — путь к заражению?

    Далее DPH:Trojan.Encoder.32 пытается провести сканирование сети в поисках расшаренных ресурсов. Опять же, никакие уязвимости не используются, в троянце жестко зашит список стандартных паролей и логинов.

  • Вопрос 6. Сколько раз говорить, что пароль 12345678 — это не защита?

В данном выпуске мы не ставили задачу описать нового троянца, описание уже доступно. Мы лишь показали, что при соблюдении элементарных мер предосторожности никакой эпидемии не было бы. Но она была (у тех, кто не пользуется Dr.Web).

#Trojan.Encoder #троянец #шифровальщик

Dr.Web рекомендует

Не секрет, что антивирус часто установлен «для галочки», а еще зачастую он выключен. И тем не менее он обязан защищать!

  • Антивирус должен быть актуальным (регулярно обновляемым).
  • Антивирус должен иметь действующую лицензию.
  • Антивирус не должен быть выключен.
  • Антивирус должен уметь ловить неизвестные вредоносные программы.
  • Антивирус должен использовать превентивную защиту.
  • Исключения из проверки — крайне опасны!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: