SOS :: Security Operation Space
23 марта, суббота, 00:00
|
Hot News:

Вымогатель STOP мобилизован для загрузки Azorult

11 марта 2019 г., понедельник, 16:25

Жертвам двойного заражения советуют сменить пароли к онлайн-аккаунтам, Skype, Steam, Telegram и FTP-клиентам.

Эксперт Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer предупреждает, что шифровальщики семейства STOP начали загружать похитителя информации Azorult.

Этот коммерческий PSW-троян хорошо известен ИБ-сообществу. Он способен не только воровать учетные данные, но также загружать дополнительные файлы и нередко используется для распространения других зловредов.

Windows-вымогатель STOP появился на радарах исследователей в конце 2017 года и с тех пор время от времени сменяет имя txt-документа с требованием выкупа и расширение, добавляемое к зашифрованным файлам. В январе этого года STOP получил солидное обновление — научился загружать файлы, расширяющие его функциональность. Такие довески, как убедились эксперты, позволяют STOP/Djvu обходить Защитник Windows, блокировать доступ жертвы к ИБ-сайтам и выводить поддельное окно обновления Windows, маскирующее повышенную активность в системе во время шифрования файлов.

Со слов Абрамса, загрузку вредоносного файла, не имеющего отношения к STOP, первым заметил специалист по препарированию вымогательского ПО Майкл Гиллеспи (Michael Gillespie). Трафик, создаваемый этим дополнением, эксперту удалось связать с Azorult. Позже в Bleeping Computer протестировали другой образец шифровальщика, тоже относительно новый — Promorad; оказалось, что он тоже используется для доставки PSW-трояна.

Файл с Azorult, загружаемый с удаленного сервера STOP/Promorad, именовался 5.exe. Его проверка на VirusTotal уверенно показала опасность содержимого.

Жертвам двойного заражения Абрамс советует как можно скорее сменить пароли к онлайн-аккаунтам, особенно те, что хранились в браузере и могли стать добычей Azorult. Следует также поменять ключи к Skype, Steam, Telegram и FTP-клиентам. Когда конкретно шифровальщик начал распространять Azorult, неизвестно, поэтому указанные меры предосторожности не помешают любой жертве STOP.

Эксперты различают варианты вымогателя по расширениям, добавляемым к зашифрованным файлам. Некоторые из новейших Абрамс привел в своей записи:

  • .blower
  • .djvu
  • .infowait
  • .promok
  • .promorad2
  • .promos
  • .promoz
  • .puma
  • .rumba
  • .tro

Полный список расширений приведен в статье, посвященной STOP, на специализированном сайте ID-Ransomware.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:19
12:15
10:15
10:15
09:15
08:15
07:15
06:24
05:26
16:31
16:24
16:15
14:19
13:15
13:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.234
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.