Мой Антивирус

26 октября 2017 года

Троянец-шифровальщик Trojan.BadRabbit, коего в завершительные деньки интенсивно дискуссируют бессчетные СМИ, сетевые издания так сколько производители антивирусного ПО, начал распространяться 24 октября так сколько скоро (по сообщениям тех же СМИ) заразил масса компов закончить исключительно на территории России, но так сколько в остальных странах. фирма «Доктор Веб» публикует подготовительные итоги научные исследования этой вредной программы. В частности, "плохой кролик" проверял, закончить ишачят ли на персональном персональном персональном компьютере провиант Dr.Web, так сколько коли обнаруживал связанные с ним процессы, пропускал узловой рубеж шифрования, стараясь избежать обнаружения. еще проверялось присутствие продуктов McAffee.

Червь Trojan.BadRabbit состоит чисто космос из трех компонентов: дроппера, червя-энкодера так сколько шифровальщика дисков, могущего еще исполнять опции расшифровщика. позже пуска дроппер, имеющиеся эталоны коего представлены в образе исполняемого файла со значком установщика Adobe Flash, всецело загружается в память. засим троянец предохраняет червя-энкодера в файл C:Windowsinfpub.dat так сколько запускает его с поддержкой системной программы rundll32.exe, а уж уж уж личный процесс завершает.

Троянец коллекционирует информацию о зараженном компьютере, а уж уж уж еще проверяет, закончить запущены ли на нем процессы 2-ух антивирусных программ: Dr.Web так сколько McAfee (в частности, его заинтересовывают процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe так сколько mcshield.exe). коли подобные процессы обнаруживаются, BadRabbit пропускает узловой рубеж шифрования, видимо, с целью избежать заблаговременного обнаружения, но старается забросить совершенное шифрование диска позже перезагрузки системы. ведь современные версии Антивируса Dr.Web закончить допускают способности гибриды загрузочной записи (MBR), попытка зашифровать диски закончить увенчается успехом. подобным образом, от воздействия Trojan.BadRabbit всецело защищены юзеры Антивируса Dr.Web версии 9.1 так сколько выше так сколько Dr.Web KATANA, при условии сколько они закончить меняли опции превентивной обороны так сколько закончить отключили ее.

Затем шифровальщик дисков инспектирует доводы собственного процесса и, коли он запущен без аргументов, ишачит чисто расшифровщик. Перед началом шифрования Trojan.BadRabbit делает линия предварительных действий, позже чего образовывает в Планировщике заданий Windows задачку на перезагрузку персонального персонального персонального персонального персонального компьютера сквозь 3 минуты. дальше каждые 30 секунд троянец удаляет пожилое поручение так сколько образовывает новое, ежедневно смещая время, когда-либо обязана выполниться задача. Вероятно, изготовлено это на случай, коли юзер персонального персонального персонального персонального персонального компьютера удалит троянца перед началом того, чисто шифрование дисков завершится.

Затем BadRabbit образовывает пароль для шифрования дисков длиной в 32 символа, записывает информацию о персональном персональном персональном компьютере в особую структуру, шифрует ее общественным ключом так сколько предохраняет в прочий структуре, которая кодируется с применением метода Base64 так сколько сберегается в MBR. метод шифрования диска так сколько загрузчик (бутлоадер) вирусописатели с малыми переменами взяли в долг из проекта с открытым начальным кодом Diskcryptor. Троянец отыскивает узловой системный диск так сколько устанавливает туда собственный загрузчик. позже содержимое этого диска шифруется.

Часть кода BadRabbit позаимствована у троянца Trojan.Encoder.12544, еще популярного под именованием NotPetya. При запуске энкодер инспектирует присутствие файла C:Windowscscc.dat и, коли эдакий существует, прекращает свою работу (в взаимосвязи с данным произведение файла cscc.dat в папке C:Windows умножать предупредить вредные последствия пуска троянца). Запустившись из памяти зараженного компьютера, червь-энкодер при наличии соответственных привилегий извлекает одинакий из 2-ух хранящихся в нем драйверов в зависимости от разрядности операционной системы. Эти драйверы позаимствованы из утилиты для шифрования файлов с открытым начальным кодом DiskCryptor.

Для пуска этих драйверов в процессе собственной работы BadRabbit старается зарегистрировать системную службу "cscc" с описанием "Windows Client Side Caching DDriver". коли зарегистрировать данную службу закончить удалось, он старается забросить драйвер DiskCryptor с именованием "cdfs" способом гибриды системного реестра.

Как так сколько Trojan.Encoder.12544, Trojan.BadRabbit применяет утилиты Mimikatz для перехвата паролей раскрытых сессий в Windows. В зависимости от разрядности ОС он распаковывает надлежащую версию утилиты, предохраняет ее со случайным именованием в папку C:Windows, позже чего запускает. засим он отыскивает доступные на запись сетевые папки, старается раскрыть них с применением приобретенных учетных заданных так сколько сберечь потом свою копию.

Выполнив абсолютно все подготовительные операции, троянец образовывает поручение с именованием "drogon" на перезагрузку компьютера. В процессе окончания сессии BadRabbit чистит системные журнальчики так сколько удаляет раньше сотворенное задание. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В итоге работы троянца на экране зараженного персонального персонального персонального персонального персонального компьютера показывается заявка выкупа в криптовалюте Bitcoin, а уж уж уж на веб-сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении коих сумма выкупа станет увеличена.

В реальное час разыскание Trojan.BadRabbit продолжается. Технические детали о работе этой вредной программы размещены в нашей вирусной складе знаний.

#Trojan.Encoder #вирус #вымогательство #троянец НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web