SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Вымогатель STOP мобилизован для загрузки Azorult

11 марта 2019 г., понедельник, 16:25

Жертвам двойного заражения советуют сменить пароли к онлайн-аккаунтам, Skype, Steam, Telegram и FTP-клиентам.

Эксперт Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer предупреждает, что шифровальщики семейства STOP начали загружать похитителя информации Azorult.

Этот коммерческий PSW-троян хорошо известен ИБ-сообществу. Он способен не только воровать учетные данные, но также загружать дополнительные файлы и нередко используется для распространения других зловредов.

Windows-вымогатель STOP появился на радарах исследователей в конце 2017 года и с тех пор время от времени сменяет имя txt-документа с требованием выкупа и расширение, добавляемое к зашифрованным файлам. В январе этого года STOP получил солидное обновление — научился загружать файлы, расширяющие его функциональность. Такие довески, как убедились эксперты, позволяют STOP/Djvu обходить Защитник Windows, блокировать доступ жертвы к ИБ-сайтам и выводить поддельное окно обновления Windows, маскирующее повышенную активность в системе во время шифрования файлов.

Со слов Абрамса, загрузку вредоносного файла, не имеющего отношения к STOP, первым заметил специалист по препарированию вымогательского ПО Майкл Гиллеспи (Michael Gillespie). Трафик, создаваемый этим дополнением, эксперту удалось связать с Azorult. Позже в Bleeping Computer протестировали другой образец шифровальщика, тоже относительно новый — Promorad; оказалось, что он тоже используется для доставки PSW-трояна.

Файл с Azorult, загружаемый с удаленного сервера STOP/Promorad, именовался 5.exe. Его проверка на VirusTotal уверенно показала опасность содержимого.

Жертвам двойного заражения Абрамс советует как можно скорее сменить пароли к онлайн-аккаунтам, особенно те, что хранились в браузере и могли стать добычей Azorult. Следует также поменять ключи к Skype, Steam, Telegram и FTP-клиентам. Когда конкретно шифровальщик начал распространять Azorult, неизвестно, поэтому указанные меры предосторожности не помешают любой жертве STOP.

Эксперты различают варианты вымогателя по расширениям, добавляемым к зашифрованным файлам. Некоторые из новейших Абрамс привел в своей записи:

  • .blower
  • .djvu
  • .infowait
  • .promok
  • .promorad2
  • .promos
  • .promoz
  • .puma
  • .rumba
  • .tro

Полный список расширений приведен в статье, посвященной STOP, на специализированном сайте ID-Ransomware.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.243
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.