Атаки Bitcoin Ransomware запускаются с новостных сайтов

[April]

 

Программы-вымогатели (ransomware) становятся хитом среди всех вредоносных программ. Другое вредоносное ПО, вирусы и трояны уходят в прошлое. Похоже, что киберпреступники считают программы-вымогатели биткоинов самыми прибыльными. Доказательством этого является количество атак, совершаемых с помощью программ-вымогателей биткоинов.

 

Вирус-вымогатель биткоинов представляет собой вредоносную программу, кодирующую все файлы и папки на инфицированном ею компьютере. После того, как вся информация закодирована, на компьютере появляется сообщение, требующее от пользователя отправить определенное количество биткоинов на указанный адрес кошелька, чтобы вернуть доступ к файлам и папкам. В большинстве случаев раскодировать измененные файлы без помощи оригинального ключа дешифрования очень сложно, а такой ключ имеется только у преступников. Если на компьютере хранится важная информация и не выполнено ее резервное копирование, для восстановления доступа к данным и получения ключа дешифрования жертвам приходится выплачивать выкуп.

 

Преступники, запускающие атаки Bitcoin ransomware, постоянно находят новые пути инфицирования компьютеров. Так, последняя атака была запущена с новостных сайтов, читатели которых меньше всего ожидают подобной угрозы. И действительно, кому придет в голову, что посещение всем известного новостного сайта, такого как BBC, NewYorkTimes, AOL или NFL может привести к блокировке компьютера? Конечно никому, и, вероятно, именно по этой причине преступники выбрали для распространения вредоносных программ новостные сайты.

 

Конечно, новостные сайты не хранят на своих серверах вредоносные программы, так как они могут инфицировать их читателей, а это то же самое, что рубить сук, на котором сидишь сам. Программы-вымогатели распространяются через рекламные сети, которые поддерживают новостные сайты. Отображаемые на экране рекламные объявления перехватываются злоумышленниками, а ничего не подозревающие читатели направляются на вредоносные серверы, где и размещаются программы-вымогатели. Как только читатель попадает на такой сервер, его компьютер сканируется на слабые места в системе безопасности, и, после нахождения таких уязвимых мест, туда отравляется вредоносный пакет с программой-вымогателем.

 

 

 

Читать полностью

Edited 17 Mar 2016, 21:26 by Tomcat_MkII

[exiledclaseboy]

ага, я узнал о вымогателях совсем недавно, тоже на форуме прочитал. так вот информации об этом очень мало на мой взгляд, а спама в ел почтевсебольше. кароче хз.

нашел вот статью на английском: http://myspybot.com/aes_ni_0day-ransomware/ там принцип работы вымогателей описан

[Oz]

exiledclaseboy,

Всё очень просто.

 

- У нас есть сервер бэкапа. И машина-клиент, которая может быть заражена. Нужно необходимую информацию из папки data переносить на сервер с определённой переодичностью.

- Ключевой момент. У машины клиента и пользователей доступа к бэкап-серверу нет. А у сервера есть. Т.е бэкапы надо забирать с машины клиента, а не копировать на машину-бэкапа. Разница принципиальная и критическая. Если заражённая машина, копирует свои данные куда-то, в том числе и на бэкап-сервер. И имеет на это право. То с большой вероятностью она же всё зашифрует удалённо. Вместе с бэкап-сервером. Даже если сервер на каком-нибудь FreeBSD. (потому что права доступа есть). Забирать информацию нужно в одностороннем порядке.

- Т.к бэкап сервер у нас уже заразиться не может. Людей и пользователей на нём нет. Никаких программ на нём не запускается, кроме сервиса-бэкапа. Доступа у пользователей к его файловой системе нет. Остаётся беспокоится про версионность бэкапов. (разные версии хотя бы на неделю\месяц), иначе последний бэкап может быть зашифрованным и единственным. И избыточность бэкапов. Надёжный рейд и другая машина, чтобы их было две. Мастер и слейв на случай если одна сдохнет.

 

После этого вирус шифровальщик уже не способен нанести какой-либо вред, т.к всё восстанавливается.

 

-----

 

Теперь немного про машину-клиента. Всегда, чтобы заразиться, нужно исполнить какой-либо код. Ключевое правило. Не запускать всё подряд. А только проверенное ПО. Этого почти достаточно. (абсолютной безопасности не существует в природе)

 

И немного про браузеры. В браузере способен исполнятся код JavaScrypt. Он уже исполняется в виртуальной песочнице и доступа к файловой системе не имеет, если ошибок в коде браузера на текущий момент нет, заразиться через JavaScrypt шансов практически нет (это уже относится к критическим уязвимостям, которые исправляются). Если отключить JavaScrypt, то заразиться вообще нельзя, т.к никакой код исполнить браузер уже не в состоянии. При этом без JavaScrypt ходить по интернету мягко сказать чрезвычайно проблематично, т.к он используется где можно и нельзя. Это теперь необходимое зло. (но в целом это +\- безопасно и даже более-менее стандартизировано, так что сильно можно не беспокоится)

 

Для того, чтобы гарантированно заразиться через браузер, необходимо, чтобы он смог выполнять какой-либо другой код. Например Flash или Java.Applet или что-нибудь ещё. А для этого надо разрешить исполнять этот код установкой в браузер дополнения или разрешения. Но тут мы возвращаемся к первому правилу. Не запускать всё подряд. Про существование Flash лучше вообще забыть навсегда, т.к это одна огромная дыра и почти все взломы сделаны через него. Любое расширение браузера уже может причинить какой-то вред.

 

-----

 

Т.е как происходит заражение. Допустим, мы зашли на какой-нибудь порносайт. Сайт через JavaScrypt собрал всю необходимую информацию. Однако нанести никакого вреда не может. Стандарты выполнения кода не позволяют. А ролик не работает. Ему необходим Flash Player. Для этого его надо установить как плагин. Установили. Смотрим ролик. На этом моменте скорее всего машина уже является заражённым дедиком.

 

Однако, если мы смотрим другой порносайт, который проигрывает видео через стандарт HTML5. И не требует расширений. Мы уже почти в безопасности. :)

 

-----

 

Это вся необходимая информация про эти вирусы. Как и с обычными всё сводится к одному простому - "не суй куда не надо" (не запускай) и всё будет хорошо. А если уже сунули, то привет - карантин.