Методы обнаружения вирусов

26 октября 2017 года

Троянец-шифровальщик Trojan.BadRabbit, коего в завершительные деньки деятельно дискуссируют бессчетные СМИ, сетевые издания так чисто производители антивирусного ПО, начал распространяться 24 октября так чисто скоро (по сообщениям тех же СМИ) заразил пропасть компов перестать всего на территории России, но так чисто в остальных странах. шатия «Доктор Веб» публикует подготовительные итоги изучения этой вредной программы. В частности, "плохой кролик" проверял, перестать ишачят ли на персональном персональном персональном компьютере провизия Dr.Web, так чисто в случае в случае в случае коли обнаруживал связанные с ним процессы, пропускал основной фазис шифрования, пробуя избежать обнаружения. тоже проверялось присутствие продуктов McAffee.

Червь Trojan.BadRabbit состоит насколько мироздание из трех компонентов: дроппера, червя-энкодера так чисто шифровальщика дисков, могущего тоже делать опции расшифровщика. потом пуска дроппер, имеющиеся эталоны коего представлены в облике исполняемого файла со значком установщика Adobe Flash, совершенно загружается в память. следом троянец предохраняет червя-энкодера в файл C:Windowsinfpub.dat так чисто запускает его с поддержкой системной программы rundll32.exe, а уж уж уж личный процесс завершает.

Троянец коллекционирует информацию о зараженном компьютере, а уж уж уж тоже проверяет, перестать запущены ли на нем процессы 2-ух антивирусных программ: Dr.Web так чисто McAfee (в частности, его заинтересовывают процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe так чисто mcshield.exe). в случае в случае в случае коли подобные процессы обнаруживаются, BadRabbit пропускает основной фазис шифрования, видимо, с целью избежать заблаговременного обнаружения, но пробует забросить совершенное шифрование диска потом перезагрузки системы. так чисто современные версии Антивируса Dr.Web перестать допускают способности трансформации загрузочной записи (MBR), попытка зашифровать диски перестать увенчается успехом. подобным образом, от деяния Trojan.BadRabbit совершенно защищены юзеры Антивируса Dr.Web версии 9.1 так чисто выше так чисто Dr.Web KATANA, при условии чисто они перестать меняли опции превентивной обороны так чисто перестать отключили ее.

Затем шифровальщик дисков испытывает доводы собственного процесса и, в случае в случае в случае коли он запущен без аргументов, ишачит насколько расшифровщик. Перед началом шифрования Trojan.BadRabbit делает пробор предварительных действий, потом чего созидает в Планировщике заданий Windows задачку на перезагрузку персонального персонального персонального персонального персонального компьютера сквозь 3 минуты. дальше каждые 30 секунд троянец удаляет пожилое урок так чисто созидает новое, всегда смещая время, когда-либо обязана выполниться задача. Вероятно, изготовлено это на случай, в случае в случае в случае коли юзер персонального персонального персонального персонального персонального компьютера удалит троянца перед началом того, насколько шифрование дисков завершится.

Затем BadRabbit создаёт пароль для шифрования дисков длиной в 32 символа, записывает информацию о персональном персональном персональном компьютере в особую структуру, шифрует ее общественным ключом так чисто предохраняет в прочий структуре, которая кодируется с применением метода Base64 так чисто сберегается в MBR. метод шифрования диска так чисто загрузчик (бутлоадер) вирусописатели с малыми переменами взяли в долг из проекта с открытым начальным кодом Diskcryptor. Троянец отыскивает основной системный диск так чисто устанавливает туда свойский загрузчик. потом содержимое этого диска шифруется.

Часть кода BadRabbit позаимствована у троянца Trojan.Encoder.12544, тоже популярного под именованием NotPetya. При запуске энкодер испытывает присутствие файла C:Windowscscc.dat и, в случае в случае в случае коли таковой существует, прекращает свою работу (в отношения с тем самым сухота файла cscc.dat в папке C:Windows возможно предупредить вредные последствия пуска троянца). Запустившись из памяти зараженного компьютера, червь-энкодер при наличии соответственных привилегий извлекает одинаковый из 2-ух хранящихся в нем драйверов в зависимости от разрядности операционной системы. Эти драйверы позаимствованы из утилиты для шифрования файлов с открытым начальным кодом DiskCryptor.

Для пуска этих драйверов в процессе собственной работы BadRabbit пробует зарегистрировать системную службу "cscc" с описанием "Windows Client Side Caching DDriver". в случае в случае в случае коли зарегистрировать данную службу перестать удалось, он пробует забросить драйвер DiskCryptor с именованием "cdfs" способом трансформации системного реестра.

Как так чисто Trojan.Encoder.12544, Trojan.BadRabbit пользуется утилиты Mimikatz для перехвата паролей раскрытых сессий в Windows. В зависимости от разрядности ОС он распаковывает надлежащую версию утилиты, предохраняет ее со случайным именованием в папку C:Windows, потом чего запускает. следом он отыскивает доступные на запись сетевые папки, пробует раскрыть них с применением приобретенных учетных заданных так чисто сберечь после свою копию.

Выполнив кончено подготовительные операции, троянец созидает урок с именованием "drogon" на перезагрузку компьютера. В процессе окончания сессии BadRabbit чистит системные журнальчики так чисто удаляет раньше сотворенное задание. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В итоге работы троянца на экране зараженного персонального персонального персонального персонального персонального компьютера показывается заявка выкупа в криптовалюте Bitcoin, а уж уж уж на медиа-сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении коих сумма выкупа довольно увеличена.

screen Trojan.BadRabbit #drweb

В истинное пора изучение Trojan.BadRabbit продолжается. Технические детали о работе этой вредной программы размещены в нашей вирусной складе знаний.

#Trojan.Encoder #вирус #вымогательство #троянец НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web