Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Волна атак Cryrar. Опубликован мастер-ключ оригинальных версий Petya/Mischa/GoldenEye. Количество новых модификаций. Количество новых модификаций шифровальщиков, Q3 2016 – Q3 2017




Волна атак Cryrar

Шифровальщик Cryrar (aka ACCDFISA) – один из «долгожителей» среди активно распространяемых сегодня троянцев-вымогателей. Он появился еще в 2012 году, и с тех пор не прекращал свою активность. Зловред написан на PureBasic и использует легальный исполняемый файл архиватора RAR, чтобы помещать файлы жертвы в запароленные RAR-sfx архивы.

В первую неделю сентября 2017 мы зафиксировали резкий рост числа попыток заражения данным шифровальщиком. Ни до, ни после распространяющие Cryrar злоумышленники не отличались такими массовыми «кампаниями». Схема заражения: злоумышленники методом перебора (brute force) подбирают пароль к RDP, авторизуются в системе жертвы по протоколу удаленного доступа и вручную запускают установочный файл троянца. Тот, в свою очередь, устанавливает непосредственно тело шифровальщика и необходимые ему компоненты (в том числе и переименованный файл rar. exe), после чего автоматически запускает шифровальщика.

По данным KSN, эта волна была нацелена в первую очередь на Вьетнам, Китай, Филиппины и Бразилию.

Опубликован мастер-ключ оригинальных версий Petya/Mischa/GoldenEye

В июле 2017 авторы троянца Petya опубликовали свой мастер-ключ, с помощью которого возможна расшифровка ключей Salsa, необходимых для расшифровки MFT и разблокировки доступа к системам, пострадавшим от Petya/Mischa и GoldenEye.

Произошло это вскоре после прогремевшей на весь мир эпидемии зловреда ExPetr, который использовал часть кода от GoldenEye. Такой ход наталкивает на мысль, что авторы Petya/Mischa/GoldenEye попытались таким образом дистанцироваться от ExPetr и поднявшейся в результате его атак шумихи.

Пострадавшим от ExPetr этот мастер-ключ, к сожалению, не поможет, т. к. авторы ExPetr не заложили в свой код возможности восстановить ключ Salsa для расшифровки MFT.

Количество новых модификаций

В третьем квартале 2017 мы выделили в классификации пять новых семейств шифровальщиков. Здесь стоит сделать ремарку: в это число мы не включаем все те троянцы, которые не получили «персонального» вердикта. Таких зловредов каждый квартал появляются десятки, но у них либо настолько мало отличительных характеристик, либо настолько малая распространенность, что они остаются «безымянными» среди сотен подобных себе и детектируются с обобщенными (generic) вердиктами.

Количество новых модификаций шифровальщиков, Q3 2016 – Q3 2017

Количество модификаций продолжает снижаться по сравнению с предыдущими кварталам. Это может оказаться как временным явлением, так и отражением постепенной потери интереса злоумышленниками к шифровальщикам как средству заработка и переориентации на другие виды вредоносного ПО.

Количество пользователей, атакованных троянцами-шифровальщиками

Июль оказался месяцем с наименьшей активностью шифровальщиков. Хотя количество атак росло на протяжении квартала, оно остается ниже показателей мая и июня, когда прогремели две массовые эпидемии (WannaCry и ExPetr).

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, третий квартал 2017

География атак

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...