Новости IT и науки: 

Архив:

Вышла утилита для борьбы с троянцем-шифровальщиком Trojan.Encoder.252

14.08.2013 10:20
рубрика: Dr.Web, комментарии нет

Компания «Доктор Веб» выпустила утилиту для борьбы с вредоносными последствиями троянца Trojan.Encoder.252, который шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов. Этот троянец попадает на компьютеры жертв через спам-рассылку якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

encoder_.png

Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается изображение прикрепленное к данной публикации. Также на компьютере жертвы появляется текстовый файл

ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Мобильный сервис Google попал в поле зрения злоумышленников

Специалисты «Лаборатории Касперского» обнаружили лазейку, через которую вирусописатели могут легко управлять своими вредоносными программами. Используя сервис Google Cloud Messaging (GCM), позволяющий разработчикам приложений отправлять пользователям сообщения, злоумышленники рассылают команды своим троянцам, заразившим телефоны на базе Android. В свою очередь эти зловреды отправляют SMS на платные номера, крадут сообщения и контакты и показывают рекламу других вредоносных программ.

Разумеется, все подобные зловреды распространяются под видом полезных приложений или игр. Новшество и особая оригинальность со стороны вирусописателей заключается в том, что в качестве командно-контрольного центра они используют сам сервис GCM: именно здесь регистрируются все троянцы и бэкдоры после установки на смартфоне, здесь же они получают команды. Такой подход исключает возможность заблокировать доступ к командному серверу непосредственно на зараженном телефоне. Единственный способ противодействия получению команд в этом случае – заблокировать аккаунты разработчиков, ID которых вредоносные программы используют при регистрации.

Самой популярной функцией мобильных троянцев, использующих сервис GCM, является отправка платных SMS, на так называемые премиум-номера. Классическим примером служит троянец Trojan-SMS.AndroidOS.OpFake.a, основная «область поражения» которого приходится на Россию и ряд других стран СНГ. В общей сложности было выявлено более 1 миллиона разных установочных пакетов этого троянца. Функционал зловреда достаточно широк: помимо отправки премиум-SMS он также может красть сообщения и контакты, удалять SMS, отправлять сообщения со ссылкой на себя или другую вредоносную программу, самостоятельно останавливать и запускать свою активность, а также обновлять себя.