26 октября 2017 года
Червь
Троянец коллекционирует информацию о зараженном компьютере, а уж уж уж еще проверяет, закончить запущены ли на нем процессы 2-ух антивирусных программ: Dr.Web так сколько McAfee (в частности, его заинтересовывают процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe так сколько mcshield.exe). коли подобные процессы обнаруживаются, BadRabbit пропускает узловой рубеж шифрования, видимо, с целью избежать заблаговременного обнаружения, но старается забросить совершенное шифрование диска позже перезагрузки системы. ведь современные версии Антивируса Dr.Web закончить допускают способности гибриды загрузочной записи (MBR), попытка зашифровать диски закончить увенчается успехом. подобным образом, от воздействия
Затем шифровальщик дисков инспектирует доводы собственного процесса и, коли он запущен без аргументов, ишачит чисто расшифровщик. Перед началом шифрования
Затем BadRabbit образовывает пароль для шифрования дисков длиной в 32 символа, записывает информацию о персональном персональном персональном компьютере в особую структуру, шифрует ее общественным ключом так сколько предохраняет в прочий структуре, которая кодируется с применением метода Base64 так сколько сберегается в MBR. метод шифрования диска так сколько загрузчик (бутлоадер) вирусописатели с малыми переменами взяли в долг из проекта с открытым начальным кодом Diskcryptor. Троянец отыскивает узловой системный диск так сколько устанавливает туда собственный загрузчик. позже содержимое этого диска шифруется.
Часть кода BadRabbit позаимствована у троянца
Для пуска этих драйверов в процессе собственной работы BadRabbit старается зарегистрировать системную службу "cscc" с описанием "Windows Client Side Caching DDriver". коли зарегистрировать данную службу закончить удалось, он старается забросить драйвер DiskCryptor с именованием "cdfs" способом гибриды системного реестра.
Как так сколько
Выполнив абсолютно все подготовительные операции, троянец образовывает поручение с именованием "drogon" на перезагрузку компьютера. В процессе окончания сессии BadRabbit чистит системные журнальчики так сколько удаляет раньше сотворенное задание. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В итоге работы троянца на экране зараженного персонального персонального персонального персонального персонального компьютера показывается заявка выкупа в криптовалюте Bitcoin, а уж уж уж на веб-сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении коих сумма выкупа станет увеличена.
В реальное час разыскание
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года