Бъди, не изглежда

Относно безопасността и не само

Като един от поразителните примери специалистите на Symantec посочват сайт, представящ се за страница за актуализация на Adobe Flash Player: http: //16.a%5BREMOVED%5Drks.com/adobe/.

Като един от поразителните примери специалистите на Symantec посочват сайт, представящ се за страница за актуализация на Adobe Flash Player: http: //16.a%5BREMOVED%5Drks.com/adobe/.

adobe

Фигура: един. Страница за фалшива актуализация Adobe Flash

Нападателят успя да създаде доста правдоподобно копие на официалния уебсайт, но въпреки това бяха направени редица недостатъци: повечето връзки водят обратно към атакуващия домейн и абсолютно всички връзки на страницата - с изключение на връзката към злонамереното съдържание себе си - до главната директория на сайта, което води до грешка 404 (Страницата не е намерена).

Основната цел на нападателя е да инсталира зловредния софтуер и за да увеличи шансовете, той предлага на потребителя две възможности за избор. Първата опция е изскачащ прозорец, който изисква от потребителя да изтегли файл, наречен „flash_player_updater.exe“. Втората опция е бутонът „Изтегляне сега“, след като щракнете върху който започва да се изтегля файлът „update_flash_player.exe“. Продуктите на Symantec идентифицират двата файла като Downloader.Ponik.

Проучването установи, че в допълнение към кражбата на пароли, тези злонамерени програми търсят акаунти за отдалечен достъп чрез FTP/telnet/SSH в системата, както и наблюдават пощенски акаунти, използвайки протоколите SMTP, IMAP и POP3.

И трите файла са идентични. Използвайки множество източници, нападателят само увеличава тяхната наличност. Symantec идентифицира тези файлове като Trojan.Ransomlock.Q.

Веднага след стартирането на един от тези файлове на заразения компютър се появява актуализирана версия на рансъмуера Trojan.Ransomlock.Q, след което последният се свързва със своя контролен сървър, изтегля шифрован файл и след това заключва компютъра.

Интересното е, че троянският кон също открива производителя на инсталирания антивирус и замества неговото лого вместо стандартното лого на Windows. В този случай изследователите на Symantec са деактивирали антивирусната програма Norton 360, защото тя вече осигурява защита срещу тази заплаха, и са получили следното предложение за плащане:

flash

Фигура: 2. Ransomware заменя логото на OS Windows върху логото Нортън 360

MoneyPak използва 14-цифрен формат за въвеждане. Като експеримент специалистите въвели произволен 14-цифрен код и получили съобщение с текст „Вашият код се обработва. Повторното въвеждане няма да ускори процеса. Обработката може да отнеме до 12 часа, не изключвайте компютъра".

adobe

Фигура: 3. Съобщение, обещаващо да отключи системата

Въведената информация се криптира и изпраща до сървъра за управление на нападателите.