Переключиться на мобильную версию

Вирус-вымогатель научился заражать пользователей через поисковик от Google

Ведущий разработчик антивирусного программного обеспечения ESET сообщил о новом способе распространения троянской программы Nymaim, которая может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

Как сообщается, с конца сентября 2013 года внимание экспертов привлекла уже известная вредоносная программа Nymaim - троян с функциями вымогателя.

Раньше заражение этим ПО осуществлялось при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода.

Однако недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.

С конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Эксперты установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. "темную поисковую оптимизацию" (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами ESET названий одного файла:

  • video-studio-x4.exe
  • speakout-pre-intermediate-wb-pdf.exe
  • new-headway-beginner-3rd-edition.exe
  • donkey-kong-country-3-rom-portugues.exe
  • barbie-12-dancing-princesses-soundtrack.exe

По словам представителей ESET, Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа.

Аналитики обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Нетрудно догадаться, что их целью были пользователи из разных стран Европы и Северной Америки. На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным – скорее всего, существуют пострадавшие и в других странах. Пользователь из любой страны может быть заражен.

Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150, однако пользователей из США просят заплатить за разблокировку самую высокую цену - $300 долларов; в Румынии же зараженный пользователь может отделаться "всего лишь" 100 €, т.е. около $135.

Эксперты отмечают, что вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты. Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

Ранее Корресопндент.biz писал, что правительство США оказалось крупнейшей организацией, которая приобретает вредоносное ПО на "сером" рынке: Министерство обороны и спецслужбы США платят значительные деньги за так называемые уязвимости "нулевого дня" - критические пробелы в ПО, о которых ранее не было известно it-аналитикам.

Эта же новость на Корреспондент
Комментариев (15)
Оставляя комментарий, пожалуйста, помните о том, что содержание и тон Вашего сообщения могут задеть чувства реальных людей, непосредственно или косвенно имеющих отношение к данной новости. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.
Полная версия правил
Осталось 300 символов
Отсортировать по дате Вниз
Aschim    25.10.2013, 00:19
Оценка:  0
Aschim
А потім WindowsUnlockerом, розблоковуєте комп і робите повну провірку системи на віруси за допомогою цього диска/флешки. Детальну інструкцію можна знайти на сайті sm s . kaspers ky . ru (без пробілів) Вже не один комп так лікував!
Aschim    25.10.2013, 00:23
Оценка:  0
Aschim
Дивно чому в статті не згадуть про цю програмку. Інформація як вилікуватися від цього віруса була б навіть корисніщою ніж та що в цій новині
Aschim    25.10.2013, 00:10
Оценка:  0
Aschim
Не потрібно ніяких форматувань, купляти всякі Акронікси чи відновлювати систему, щоб стерти цей вірус.
Є чудова бесплатна програма: Kaspersky WindowsUnlocker яка входить в склад Kaspersky Rescue Disk.
Качаєте Kaspersky Rescue Disk , пишете на диск чи флешку і загружаєте компютер з нього
Эзоп    25.10.2013, 10:47
Оценка:  0
Эзоп
Ну загрузишь, и что дальше? Чаще всего такие вирусы прописываются в ерестре под совершенно, на первый взгляд, безобидным именем. Произвести чистку реестра возьмется далеко не любой даже очень грамотный специалист. Таким образом комп вы загрузите, но программка вредитель будет сидеть и продолжать
Эзоп    25.10.2013, 11:01
Оценка:  0
Эзоп
свое черное дело. Кроме того хоть Каскерский и считается одним из самых продвинутых, но это не гарантирует его сто процентную способность справиться с новейшими пакостными выдумками! Это второе! И третье. Наличие резервной копии жеского диска гарантирует вам отсутствие каких либо неприятностей!
Aschim    25.10.2013, 11:03
Оценка:  0
Aschim
WindowsUnlocker якраз і чистить записи реєстру від тої зарази і міняє загрузочнй екран на стандартний віндовзький. А повна провірка після цього Kaspersky Rescue Disk находить залишки вірусу, якщо такі ще лишилися. У мене наприклад після цього вірус ніразу не оживав, завжди повністю видаляло з компа.
Эзоп    25.10.2013, 11:05
Оценка:  0
Эзоп
Имея любой автономный накопитель информации вы можете обновлять эту резервную копию сколько угодно. А копия находящаяся в компе будет обновляться периодически. Кроме того. Если ваш комп подвержен частым негативным воздействиям то вы можете запрограммировать загрузку компа с резервной копии
Эзоп    25.10.2013, 11:09
Оценка:  0
Эзоп
при запуске! Если вас не устраивает и этот вариант. То используя программу Acronis OS Selector вы можете в своем компе создать несколько независимых системных дисков! Которые не подвергнутся заражению при попадании "диверсанта" на один из них! Это уважаемый пройденные на практике варианты.
Эзоп    25.10.2013, 11:18
Оценка:  0
Эзоп
Aschim! Программой WindowsUnlocker я тоже иногда пользуюсь и именно для чистки реестра, чаще всего когда на такие операции мало времени. Хотя последние годы я делаю проще и иначе. Проверяю комп на вирусы, удаляю все что мне не нужно, создаю копию и сохраняю её автономно.
Эзоп    25.10.2013, 11:24
Оценка:  +1
Эзоп
А в прочем каждый на этой дороге выбирает "свою "Антилопу Гну", которую будет холить, лелеять и на которой будет "ехать"! Если вы приспособились так как пишите, то я за вас рад, но это не означает, что путь есть только один и других нет. Я всего лишь поделился тем путем который проверил сам! Удачи
Aschim    25.10.2013, 12:38
Оценка:  0
Aschim
З цим згідний) Ваші поради тоже прийму на замітку. Я сам не дуже люблю відкатувати систему і заморочуватися з бекапами, ну і немає необхідності - подібними вірусами сам ніразу не заражався. А ось чужі компютери приносять вже заражені, тому Акронісом вже запізно щось робити, треба швидко вилікувати
Aschim    25.10.2013, 12:44
Оценка:  0
Aschim
А в сервісних центрах як правило навіть не заморочуються пошуком і видаленням такого вірусу. У них люба проблема вирішується за допомогою Format C + переустановка системи))) Відновленням системи тоже малоімовірно, що будуть займатися.
Эзоп    24.10.2013, 18:04
Оценка:  -1
Эзоп
Ну и что? В крайнем случае винт форматнул и делов то! Хотя конечно бывает и интереснее. На пример при форматировании программа не видит жеских дисков... На этот случай рекомендую любителям путешествовать по интернету приобрести для безопасности любимого компа программу Acronis True Image .
Эзоп    24.10.2013, 18:07
Оценка:  0
Эзоп
Создать этой программой загрузочный диск, с которого в результате заражения вы запустите программу восстановления, и создать резервную копию своего системного диска. В случае заражения и блокировки компа, вставляете загрузочный диск, выбираете папку с резервной копией диска и выбираете восстановить
Эзоп    24.10.2013, 18:11
Оценка:  0
Эзоп
Через 10-15 минут вы полностью уничтожаете зараженную операционную систему и устанавливаете её копию созданную ранее!!! ПРОВЕРЕНО!!! Кому не понравится эта программа то можно найти и другие позволяющие создать копию и произвести восстановление! Желаю всем избежать подобных ловушек.
Реклама
Мы в соцсетях
Реклама
Реклама
Реклама
Для удобства пользования сайтом используются Cookies. Подробнее здесь