ICQ
Навигация
Главная
Карта сайта
Форум сайта
Поиск по сайту
Обратная связь

Разделы
Разное про ICQ
Для мобильного
Для компьютера
Сетевые новости

ICQ
Статус ICQ на сайте
Проверка ICQ статуса
Информер статуса ICQ

Загрузки
Файлы
IPDBrute
Скачать ICQ
Скачать JIMM
Мобильная ICQ

Магазин
On-Line ICQ магазин

RSS канал
Нас посетили
Понедельник143
Вторник1413
Среда1438
Четверг1360
Пятница1312
Суббота1280
Воскресенье1365
Сейчас online:162
Было всего:6127390
Рекорд:28766
Ваш IP адрес

Ваш IP: 54.225.57.89
 

ESET представляет анализ шифратора Diskcoder.D

  | Сетевые новости 

ESET представляет анализ шифратора Diskcoder.D

Вирусная лаборатория ESET исследовала схему распространения шифратора Win32/Diskcoder.D (Bad Rabbit). Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.

По данным ESET, Win32/Diskcoder.D – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска.

Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC.

Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели».

Атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный С&С-сервер. Далее логика на стороне сервера может определить, представляет ли посетитель сайта интерес, и при необходимости добавляет на страницу новый контент. В ESETнаблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. В настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Нажав на кнопку «Install/Установить», пользователь инициирует загрузку исполняемого файла, который в свою очередь запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 000 рублей).

Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей.



   Вернуться назад  
Поиск по сайту




Подписка на новости

Введите свой Email:



Опрос
Кто какой программой для общения пользуется на смартфоне или планшете?

WhatsApp
Viber
Skype
Telegram
Facebook Messenger
Instagram
Vkontakte
Одноклассники
Mail.ru Агент
ICQ
ooVoo
Другая

  

  Результаты: 1624
На форуме
 1. Дедики | различные страны | продажа
Время : 19/11/2017 в 15:03:22
XDSystems
 2. ✯ Магазин Аккаунтов Uber • Eldorado • Mvideo • DNS • Avito
Время : 18/11/2017 в 01:04:00
Ymacasi
 3. Второй круг писем
Время : 17/11/2017 в 13:31:32
Ira
 4. Mail.Ru Agent
Время : 14/11/2017 в 21:45:44
luxemburg
 5. ICQ для Windows 10
Время : 14/11/2017 в 21:42:57
luxemburg
© Copyright 2005-2017 «Русская аська