Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Под видом «апдейта»

Прочитали: 10400 Комментариев: 100 Рейтинг: 117

25 января 2018

«Если правда оно,
Ну, хотя бы на треть,
Остается одно:
Только лечь, помереть»

Владимир Семенович Высоцкий, «Ой, где был я вчера»

Как ведет себя неискушенный пользователь при необходимости обновления «чего-то там»? Иногда так:

Зашел в «Центр обновления Винды». Там висело ВАЖНОЕ обновление. Внимательно не читал, что-то связанное то ли с монитором, то ли еще что-то подобное. Поверил Винде. Скачалось. Начало устанавливаться. Через некоторое время от ДВ прилетело сообщение типа:

«Вы действительно хотите допустить изменение какого-то там системного чего-то там?» Поверил ДВ - нажал «заблокировать»;. Потом опять какое-то мелькание, тормоза (висел в инете в этот момент) - опять прилетает такое-же сообщение от ДВ. Опять жму «заблокировать».

Заволновался, залез в ТЕМР, там - фигова гора каких-то файлов. Снес их. Теперь все спокойно. Посмотрел установленные обновления - нового обновления не установилось. Скажите пожалуйста, что это было и как действовать в подобных случаях?

Обращение в техническую поддержку

Многие ли внимательно читают описания обновлений? Тем более что информация там зачастую очень и очень расплывчатая.

А тем временем для опасений основания есть: злоумышленники пытаются имитировать сообщения об обновлениях.

Злоумышленники, разработавшие шифровальщик Fantom, маскируют его под критическое обновление Windows.

Чтобы подтвердить легитимность «обновления», в свойства исполняемого файла шифровальщика сообщается, что он принадлежит Microsoft и является критическим обновлением.

#drweb

https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update/

«Критическое обновление №1»! Забавно…

После запуска файла «критического обновления» из тела шифровальщика извлекается и запускается программа под названием WindowsUpdate.exe, которая отображает поддельный экран обновления Windows, показанный ниже. Этот экран показывается поверх всех активных окон и не позволяет пользователю переключаться на любые другие открытые приложения.

#drweb

Фальшивый экран обновления содержит счетчик, который увеличивается по мере того, как выкуп зашифровывает файлы жертвы в фоновом режиме. Это делается для того, чтобы сделать поведение шифровальщика похожим на процесс обновления и объяснить для пользователя причину повышенной активности файловых операций.

Экран можно закрыть, используя комбинацию клавиш Ctrl + F4. Это прекратит поддельный процесс обновления Windows и отобразит обычный экран Windows, но шифровальщик продолжит шифрование файлов в фоновом режиме.

https://pbs.twimg.com/media/CqpI2TaWEAAss21.jpg:large

https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update

Название WindowsUpdate, надо полагать, будет отображено в списке запущенных процессов, что должно развеять подозрения пользователя.

Естественно, Превентивная защита Dr.Web заметит подозрительную активность (включая обращения к различным ресурсам). Но вот проблема: Превентивная защита отслеживает работу программ, не зная их назначения, и не может всегда быть уверена на 100%, что бурная деятельность по замене тучи файлов и изменению реестра – нелегитимна. Поэтому она выдает предупреждение, и уже пользователь должен принять решение, что делать с обнаруженным процессом.

В описанном в начале выпуска случае все закончилось благополучно. Тревога оказалась ложной, пользователь запустил легитимное обновление. Но ведь все могло быть иначе!

Имитация процедуры обновления – не единственный прием, можно подменить и саму систему обновлений.

Вредоносная программа Win32.HLLW.Flame.1 перехватывала доступ к официальному серверу Windows Update (атака «человек посередине»). Чтобы реализовать такой перехват, троянец объявлял зараженную машину прокси-сервером домена. После этого, если какой-то ПК из локальной сети пытался установить соединение с Microsoft Windows Update, соединение автоматически перенаправлялось на зараженную систему, которая, в свою очередь, отправляла запросившей машине ложное вредоносное обновление Windows. Благодаря этому злоумышленники могли заражать даже полностью обновленные версии ОС!

Заметим, что один из компонентов Flame – файл WuSetupV.exe – имел цифровую подпись Microsoft, что позволяло ему запускаться без подтверждения со стороны пользователя. В связи с этим корпорация Microsoft выпустила обновление безопасности, в котором отозвала ряд сертификатов, используемых Flame для подписи программных модулей.

А теперь – минутка отдыха! В процессе сбора информации к выпуску в числе прочих нам на глаза попалась статья с такой фразой:

Мощная рекламная компания по запугиванию пользователей, уклоняющихся от обновления Windows XP до более новых версий, захлестнула европейские СМИ. Больше других старались британские СМИ и политические деятели, даже Тереза Мей приняла активное участие. Отдельную благодарность за агрессивную рекламную кампанию в интересах мелкомягких следует вынести BBC.

Как вы думаете, какая вредоносная программа побудила к написанию подобного? Догадаетесь без «гугления»?

#обновления_безопасности #обновления_антивируса #вредоносное_ПО #шифровальщик #цифровая_подпись

Антивирусная правДА! рекомендует

Разумеется, обновления нужны, и устанавливать их необходимо регулярно. Но пример Flame показывает, что можно подделать и саму процедуру обновления операционной системы!

  1. Не используйте автоматическое обновление ПО (за исключением антивируса). Самостоятельно выбирайте обновления для запуска.
  2. Не запускайте обновления, о необходимости которых вы прочитали на сайте или в письме, даже если оно подписано «Ваш администратор».

    #drweb

  3. Держите свой антивирус обновленным. Правила Превентивной защиты актуализируются в процессе обновления антивируса, а значит, диагностика поведения новых программ улучшается.

#drweb

Пользователи Dr.Web защищены от троянской программы, описанной в выпуске. Наш антивирус распознает ее как Trojan.Encoder.5654.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: