Возможности популярного в России шифровальщика стали еще шире

Александр Панасенко 10 Августа 2016 - 17:52

Общее

Вредоносные программы

Вирусы

Трояны

Вирусы-шифровальщики

...

Возможности популярного в России шифровальщика стали еще шире

«Лаборатория Касперского» обнаружила, что распространенный в России шифровальщик Shade умеет не только блокировать доступ к данным с целью получения выкупа, но и действовать более стратегически — проверять компьютер на причастность к бухгалтерии и внедрять в систему инструменты удаленного управления.

Такие возможности позволяют злоумышленникам скрытно следить за деятельностью жертвы и собирать подробные сведения о ее платежеспособности, которые могут быть использованы для разработки наиболее эффективной схемы получения выкупа.

Троянец действует следующим образом: проверяя зараженный компьютер, он ищет в установленных в системе приложениях строки, связанные с банковским ПО, а затем подстроки BUH, BUGAL, БУХ, БУГАЛ в имени компьютера и пользователя. При обнаружении искомого зловред не шифрует файлы, а внедряет в систему жертвы вредоносную программу Teamspy, которая позволяет, например, записывать звук или видео с экрана, скачивать и запускать файлы, выключать и перезагружать компьютер.

Для связи с командным сервером Teamspy использует легальную утилиту удаленного управления TeamViewer 6, модифицируя ее для незаметной работы и скрывая окно программы и ее значок в области уведомлений. Не видя графический интерфейс TeamViewer, пользователь зараженного компьютера может и не заподозрить о наличии и активности утилиты, если только не посмотрит в список запущенных процессов.

«Злоумышленники продолжают расширять возможности зловредов. Стремясь извлечь максимальную выгоду от компрометации зараженных компьютеров, они предпочитают шифрованию документов продуманный долгосрочный подход, который может оказаться более эффективным и, следовательно, опасным для пользователей. Использование в случае Shade вредоносной программы, позволяющей управлять системой жертвы, открывает перед киберпреступниками, целенаправленно ищущими финансовую информацию, широкие перспективы обогащения», — комментирует Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 22 Ноября 2024 - 09:26

iOS Эксплойты Уязвимости программ Домашние пользователи Корпорации

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.