Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред, распространяющийся через RDP-программы, теперь шифрует файлы в другой формат.
ИБ-специалист и разработчик ID Ransomware Майкл Гиллеспи (Michael Gillespie) обнаружил новый вариант вымогателя Dharma. Теперь зловред шифрует данные, добавляя к ним другое расширение файла — cmb.
Злоумышленники устанавливают вредоносное ПО на компьютеры жертв с помощью RDP-утилит. Они сканируют Интернет в поисках открытых TCP-портов 3389, предоставляющих доступ к удаленному рабочему столу, меняют системный пароль и запускают шифровку файлов.
Атаки через RDP получают все большее распространение. В начале 2017 года через протокол удаленного доступа на компьютеры проникло 66% зловредов, а через электронную почту — лишь 33%. Этим способом пользовался и шифровальщик Crysis, на котором основан Dharma. ИБ-исследователи выявили между ними прямую связь, анализируя атаки вымогателей за 2016 год.
Новый вариант вредоноса добавляет после кодирования к имени файла уже не .dharma, а расширение в формате .id-[id].[e-mail].cmb. При этом [e-mail] указывает фактический адрес электронной почты злоумышленника, по которому жертва должна с ним связаться. Так, test.jpg после шифровки превратится в test.jpg.id-BCBEF350.[Paymentbtc@firemail.cc].cmb.
Лоуренс Абрамс (Lawrence Abrams), аналитик издания BleepingComputer, предупреждает о серьезности угрозы.
«Этот вымогатель зашифрует и подключенные сетевые диски, и общие среды под управлением виртуальной машины, и неотображаемые совместные сетевые папки. Поэтому необходимо убедиться, что доступ к вашим сетевым ресурсам был только у тех, кому он действительно нужен».
Кроме того, вредоносное ПО прописывается в автозапуске и при каждой перезагрузке кодирует новые файлы.
Требования выкупа вымогатель оставляет сразу в двух местах. Первое сообщение, Info.hta, автоматически появляется после запуска зараженного компьютера. Второе, текстовый файл с именем FILES ENCRYPTED.txt, пользователь может найти на рабочем столе.
В обеих записках злоумышленники предлагают писать на адрес bbcc@firemail.cc, чтобы получить инструкции об оплате в биткоинах. Цена не указана, однако преступники отметили, что она зависит от того, насколько быстро жертва к ним обратится.
На данный момент возможности бесплатно расшифровать файлы нет, так как ключи для новой версии Dharma еще не разработаны. Поэтому специалисты рекомендуют не забывать регулярно выполнять резервное копирование, а также проверить, правильно ли заблокированы службы удаленного доступа.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |