Эксперты Eset обнаружили саморазмножающийся троян-шифратор
16 янв 2015 13:00 #5717
от ICT
ICT создал тему: Эксперты Eset обнаружили саморазмножающийся троян-шифратор
Эксперты международной антивирусной компании Eset обнаружили новую разновидность трояна-шифратора с механизмом заражения файлов — Win32/Virlock. Как сообщили CNews в Eset, как и другие известные шифраторы, Win32/Virlock блокирует рабочий стол инфицированного компьютера, шифрует файлы и выводит на экран требование выкупа. Но в дополнение к «традиционному» функционалу Win32/Virlock способен также заражать файлы как полиморфный вирус, встраивая в них свой код, подчеркнули в компании. Win32/Virlock специализируется на заражении файлов наиболее распространенных форматов: .exe, .doc, .xls, .zip, .rar, .pdf, .ppt, .mp3, .png, .gif, .jpg и др. Virlock компрометирует файлы как на сетевых дисках, так и на съемных носителях. При заражении файла, не являющегося исполняемым, Win32/Virlock использует специальную схему. Вместо обычного для данного типа вредоносного ПО побайтного шифрования он преобразует файл в исполняемый. Для этого Virlock создает новый файл с зашифрованным содержимым документа и своим кодом, удаляет оригинальный файл и перезаписывает новый с тем же именем, но с расширением .exe. По словам представителей Eset, запуск инфицированного файла сопровождается созданием двух новых, осуществляющих дальнейшее заражение системы. Полиморфизм Win32/Virlock гарантирует уникальность тела вредоносной программы в каждом «обработанном» файле. Часть кода Win32/Virlock отвечает за отображение экрана блокировки и самозащиту, в том числе завершение процессов «Диспетчера задач». Сообщение в окне блокировки содержит требование о выкупе в размере $250 в биткоин-эквиваленте. Анализ транзакций, проведенных по указанному счету Bitcoin, показал, что некоторые жертвы уже заплатили злоумышленникам. Интересно, что код вредоносной программы способен выполнять некоторую локализацию экрана блокировки. Для этого используется соединение с google.com и определение перенаправления на локальный домен (например, google.ru, google.co.uk и др.). В некоторых странах на экране блокировки отображается государственный флаг, стоимость биткоина и курс национальной валюты. Специалисты Eset зафиксировали несколько модификаций Win32/Virlock, что указывает на его активное развитие злоумышленниками. При этом код Win32/Virlock свидетельствует о высоком уровне технической подготовки авторов программы, указали в компании.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| Эксперты компании ESET обнаружили бэкдор, который использовали создатели вируса Petya | 17.56 | Вторник, 04 июля 2017 |
| Эксперты ESET нашли банковский троян в магазине приложений для Android | 17.18 | Среда, 09 августа 2017 |
| Шифратор Locky использует для распространения новый троян-загрузчик | 14.9 | Понедельник, 30 мая 2016 |
| Eset обнаружила шифратор-подделку | 14.5 | Среда, 13 сентября 2017 |
| ESET: шифратор маскируется под Google Chrome | 14.34 | Среда, 13 января 2016 |
| Eset обнаружила первый Android-шифратор с блокировкой экрана | 14.04 | Пятница, 13 октября 2017 |
| Eset: новый шифратор предлагает в качестве выкупа сыграть в PUBG | 13.89 | Пятница, 27 апреля 2018 |
| Eset: шифратор GandCrab маскируется под «кряки» для Counter Strike и Microsoft Office | 13.74 | Среда, 29 августа 2018 |
| Специалисты обнаружили троян, маскирующийся под антивирус Касперского | 13.63 | Пятница, 16 октября 2015 |
| Эксперты обнаружили в iOS и Android серьезную уязвимость | 12.89 | Среда, 04 марта 2015 |