Мой Антивирус

• Эпидемия червя-шифровальщика Trojan.Encoder.12544
• Распространение троянца-майнера для Windows
• Обнаружение новеньких вредных программ для ОС Linux

Угроза месяца

В первой половине денька 27 июня возникли 1-ые сообщения о распространении небезопасного червя-шифровальщика, коего печать прозвала Petya, Petya.A, ExPetya настолько будто WannaCry-2. Аналитики «Доктор Веб» окрестили его Trojan.Encoder.12544. На самом деле с троянцем Petya (Trojan.Ransom.369) у этой вредной программы общего закончить делать много: идентична вряд процедура шифрования файловой таблицы. Троянец заражает компы при помощи такого же комплекта уязвимостей, коие перед началом этого преступники воспользовались для внедрения троянца WannaCry. Trojan.Encoder.12544 приобретает перечень внутрисетевых настолько будто доменных пользователей, авторизованных на зараженном компьютере. вслед за тем он отыскивает доступные на запись сетевые папки, старается разинуть них с применением приобретенных учетных заданных настолько будто сберечь затем свою копию. кое-какие эксперты утверждали, будто для предотвращения пуска шифровальщика довольно создать в папке Windows файл perfc, однако это закончить делать так. ничтожество подлинно делает испытание собственного повторного пуска по наличию в системной папке файла с именем, надлежащим имени троянца без расширения, однако стоит злодеям поменять начальное имя троянца, настолько будто творение в папке C:Windows файла с именованием perfc без расширения (как рекомендуют кое-какие антивирусные компании) уже закончить делать спасет комп от заражения. кроме того, троянец воплотит испытание наличия файла лишь при наличии у него достаточных привилегий в операционной системе.

Trojan.Encoder.12544 омрачает VBR (Volume Boot Record), копирует необычную загрузочную запись Windows в противоположный участок диска, за ранее зашифровав ее с применением метода XOR, а уж уж уж уж заместо нее записывает свою. дальше он образовывает урок на перезагрузку настолько будто шифрует файлы на стационарных дисках компьютера. в последствии перезагрузки ничтожество показывает на экране зараженного ПК текст, напоминающий известие нормальной утилиты для испытания дисков CHDISK.

В это пора Trojan.Encoder.12544 шифрует MFT (Master File Table). окончив шифрование, Trojan.Encoder.12544 показывает на экране заявка злоумышленников об уплате выкупа.

Вирусные аналитики корпорации «Доктор Веб» полагают, будто Trojan.Encoder.12544 первоначально был рассчитан закончить делать на приобретение выкупа, а уж уж уж уж на ликвидирование зараженных компьютеров: во-первых, вирусописатели воспользовались лишь одинаковый почтовый сундук для оборотной связи, какой-нибудь скоро в последствии основы эпидемии был заблокирован. Во-вторых, ключ, какой-нибудь показывается на экране зараженного компьютера, воображает собой случайный комплект знаков настолько будто закончить делать имеет ничего общего с действительным ключом шифрования. В-третьих, передаваемый злодеям отправляться закончить делать имеет ничего общего с ключом, применяемым для шифрования таблицы размещения файлов, из-за этого вирусописатели никак закончить делать сумеют дать жертве отправляться расшифровки диска. Подробнее о принципах работы Trojan.Encoder.12544 можно прочесть в новостной статье либо в техническом описании.

Первоначальным источником распространения троянца была система обновления программы MEDoc — известного на территории Украины денежные средства ведения налогового учета. эксперты корпорации «Доктор Веб» уже знакомы с похожей схемой распространения вредных программ. В 2012 году наши вирусные аналитики выявили целенаправленную атаку на паутину русских аптек настолько будто лекарственных предприятий с применением троянца-шпиона BackDoor.Dande. Он похищал информацию о закупках медикаментов из специализированных программ, коие употребляются в лекарственной индустрии. Троянец загружался с интернет-сайта http://ws.eprica.ru, принадлежащего корпорации «Спарго Технологии» настолько будто предназначенного для обновления программы для мониторинга цен на лекарства ePrica. Подробнее об конкретно в данном инциденте рассказано в нашем новостном материале, а уж уж уж уж нюансы расследования изложены в техническом описании.

По заданным статистики Антивируса Dr.Web

• Trojan.InstallCore
  Семейство установщиков ненужных настолько будто вредных приложений.
• Trojan.Kbdmai.16
  Представитель семейства маркетинговых троянцев. Одна из функций этой вредной программы – изобретение в окне браузера разнообразных веб-сайтов.
• Trojan.DownLoader
  Семейство троянцев, специализированных для загрузки на атакуемый комп альтернативных вредных приложений.
• Trojan.Moneyinst.69
  Вредоносная программа, устанавливающая на комп жертвы всевозможное ПО, в фолиант числе альтернативных троянцев.
• Trojan.Encoder.11432
  Сетевой червь, запускающий на персональном персональном персональном персональном компьютере жертвы небезопасного троянца-шифровальщика. знаменит а уж уж уж уж гораздо под именованием WannaCry.

По заданным серверов статистики «Доктор Веб»

• JS.DownLoader
  Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько будто ставят на комп остальные вредные программы.
• JS.Inject.3
  Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
• Trojan.InstallCore
  Семейство установщиков ненужных настолько будто вредных приложений.
• Trojan.Kbdmai.37
  Представитель семейства маркетинговых троянцев. Одна из функций этой вредной программы – изобретение в окне браузера разнообразных веб-сайтов.
• Trojan.DownLoader
  Семейство троянцев, специализированных для загрузки на атакуемый комп альтернативных вредных приложений.

Статистика вредных программ в почтовом трафике

• JS.DownLoader
  Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько будто ставят на комп остальные вредные программы.
• W97M.DownLoader
  Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. специализированы для загрузки на атакуемый комп альтернативных вредных программ.
• Trojan.PWS.Stealer
  Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько будто противоположный секретной информации.

По заданным бота Dr.Web для Telegram

• Android.Locker.139.origin, Android.Locker.1733
  Представители семейства Android-троянцев, специализированных для вымогательства. Они отображают назойливое известие якобы о нарушении закона настолько будто о последовавшей в отношения с тем самым блокировке мобильного устройства, для снятия коей юзеру предлагается оплатить конкретную сумму.
• Win32.HLLP.Neshta
  Файловый вирус, кзнаваемый вирусным аналитикам с 2005 года. Заражает файлы EXE PE, размеры коих закончить делать баста меньше 41472 байт. При инфецировании пишет себя в зачин инфицированного файла, а уж уж уж уж неординарное зачин переносит в точка файла. Содержит строчку: «Neshta 1.0 мейд in Belarus».
• EICAR Test File
  Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. баста антивирусные программы при обнаружении такого файла обязаны реагировать на него в точности подобным же образом, будто в случае выявления какой-нибудь действительной компьютерной угрозы.
• Android.Androrat.1.origin
  Шпионская программа, работающая на устройствах под управлением ОС Android.

В июне в службу технической помощи корпорации «Доктор Веб» почаще доселе обращались пользователи, пострадавшие от надлежащих трансформаций троянцев-шифровальщиков:

• Trojan.Encoder.858 — 28.51% обращений;
• Trojan.Encoder.10103 — 8.10% обращений;
• Trojan.Encoder.567 — 5.54% обращений;
• Trojan.Encoder.11432 — 4.10% обращений;
• Trojan.Encoder.10144 — 2.36% обращений.