Честный компьютерный мастер - ваш знакомый компьютерщик
тел.(МТС Москва): +7-985-173-84-19
скажите, что случилось и спросите, что делать
Cryptowall 3Специалисты компании проанализировали новый образец вредоносного ПО.

Аналитики из компании Cisco Systems проанализировали новую версию вируса-вымогателя Cryptowall 3.0. Вирус распространяется в zip архиве, который содержит в себе несколько дропперов. Сами по себе файлы абсолютно идентичны за исключением алгоритмов шифрования, которые используются для сокрытия дроппера и компиляции бинарника Cryptowall 3.0.

Как и в версии Cryptowall 2.0 (которую исследователи анализировали ранее), дроппер трижды шифруется при помощи специального алгоритма, но на этом все сходства двух версий заканчиваются. В новом варианте вируса были удалены следующие возможности:
  • переключение между 32 и 64-битными операциями
  • содержание множественных экплоитов в дроппере
  • проверка на наличие антивируса для предотвращения запуска в виртуальной среде
Подробный анализ последнего образца Cryptowall 3.0 показал наличие большого количества бесполезных вызовов API и неиспользуемого кода. Это свидетельствует об упрощении самого вируса. Отсутствие эксплоитов внутри дроппера говорит о том, что авторы вируса делают акцент на использование наборов эксплоитов в качестве вектора атаки. Сам по себе дроппер без эксплоитов, способных повысить привилегии на системе, не может использоваться для отключения и обхода множественных средств защиты.

Код инициализации остался неизменным по сравнению с предыдущими версиями вредоноса. По прежнему вирус внедряется в процесс “explorer.exe” и запускается на системе стандартными методами (папка “Автозагрузка” и ключи реестра “Run” / “RunOnce”). После отключения всех методов защиты вредоносный код внедряется в процесс “svchost.exe”.

Из анализа следует, что большинство возможностей предыдущей версии Cryptowall отсутствуют в последнем образце вредоноса. Новая версия, однако, обзавелась возможностью использовать I2P сети. Вредоносное ПО остается незамеченным в сети благодаря использованию анонимных сетей TOR и I2P для коммуникации с C&C серверами.

Выявление и удаление вируса требует многоуровневого подхода к обеспечению безопасности. Нарушение любого этапа атаки успешно может ее предотвратить. Блокировка первоначальных фишинг-писем, сетевых соединений с вредоносным ПО, а также остановка вредоносных процессов играют важную роль в борьбе с вирусом.
источник


Компьютерная помощь рекомендует все вложения из непонятных писем, с непонятными отправителями и интригующими описаниями, предварительно отправлять на комплексные антивирусные проверки, например на virustotal.com. При этом важно содержать собственную операционную систему обновленной до всех последних официальных "заплаток" и исправлений, закрывающих лазейки для злоумышленников в попытках проэксплуатировать различные, ранее найденные, уязвимости в операционных системах. Кроме этого необходимо обратить так же внимание на обновления офисных компонент и ПО работы с документами, статус автоматического обновления своей антивирусной программы, актуальность браузера и его медиа-компонент. Для организаций рекомендуется централизованная система обновлений операционных систем, программного обеспечения, браузеров и компонентов, настроить которую, при необходимости, возможно с нашей услугой компьютерная помощь в офисе организации.
Если у вас уже возникают подозрения в возможных заражениях компьютера вредоносными программами - компьютерными вирусами, рекомендуем обратить внимание на предложения удалить компьютерный вирус и установка антивируса.

Если Вы находите данную публикацию весьма полезной и познавательной, пожалуйста, проголосуйте за неё. Это поможет определять значимость материалов для дальнейших публикаций и сориентироваться другим посетителям.
4.511111Рейтинг 4.50 (1 Голос)

Добавить комментарий

Защитный код
Обновить

Ваша безопасность

Проверка безопасности браузера
SurfPatrol
Онлайн-сервис и статус-баннер от компании "Positive Technologies" проведенной проверки безопасности Вашего браузера и компонентов на уязвимые, устаревшие версии и на возможность проникновения вирусов через данные уязвимости, при серфинге и посещении Интернет страниц на просторах сети. Пожалуйста, обратите внимание на статус проверки и заблаговременно проводите обновление компонентов, для обеспечения собственной безопасности от различных активных Интернет-угроз, вирусов, червей, баннеров, блокировщиков, шифраторов и прочих представителей Интернет-фауны.