Новый вирус заражает компьютеры майнером или вирусом-вымогателем

Эксперты в области информационной безопасности недавно обнаружили новый вид вредоносного ПО, которое заражает компьютеры пользователей майнером криптовалют либо вирусом-вымогателем в зависимости от конфигурации и характеристик системы жертвы.

 

Напомним, что вирусы вымогатели блокируют доступ к информации на вашем ПК путем шифровки всего содержимого жестких дисков, до тех пор, пока вы не заплатите выкуп. В Украине хакеры часто прибегают к использованию этого метода вымогательства. Такие атаки как Petya, WannaCry и BadRabbit нарушили работу сотен организаций, в том числе и государственных. В результате самой масштабной атаки WannaCry пострадало 150 стран, 300 тысяч пользователей и был нанесен ущерб на общую сумму в 1 млрд. долларов только за первые четыре дня.

 

Криптомайнеры также распространены по всему миру и используются для добычи криптовалюты путем эксплуатации мощностей компьютеров ничего не подозревающих пользователей.

 

Не смотря на популярность обоих видов вредоносных программ, киберпреступники все чаще прибегают к использованию именно майнеров цифровой валюты. Причиной является то, что вирусы-вымогатели далеко не всегда приносят финансовую выгоду злоумышленникам, так как многие пользователи не высоко оценивают потерю своих данных и просто переустанавливают операционную систему. В то же время, криптомайнеры часто остаются незамеченными и достаточно продолжительное время используют мощности ПК, что приводит к быстрому износу компонентов компьютера и значительному понижению производительности.

 

Как действует это вредоносное ПО?

 

Недавно обнаруженное зловредное ПО является модификацией семейства вирусов-вымогателей Rakhni, который дополнили майнером. Rakhni написан на языке Delphi и распространяется путем точечной рассылки фишинговых имейлов, к которому прикреплен файл MS Word. При открытии этого файла большинство пользователей сохраняют документ и включают режим редактирования.

 

Документ содержит иконку PDF, которая при нажатии запускает вредоносный файл, выдавая фальшивое сообщение об ошибке. Это создает у пользователя впечатление, что отсутствует некий системный файл, необходимый для открытия документа.

 

Затем майнер начинает работать в фоновом режиме, анализируя ПК на присутствие мер противодействия таких как песочница. Если проверка пройдена, то программа переходит к следующей стадии – анализу каким именно видом зловредного ПО будет инфицирована система.

  • Если в директории AppData есть папка Bitcoin – система будет инфицирована шифровальщиком-вымогателем.
  • Если в системе отсутствует папка Bitcoin и система имеет более двух процессорных ядер – будет установлен криптомайнер. Кроме того, зловредное ПО использует CertMgr.exe для инсталляции поддельных корневых сертификатов, якобы выданных Microsoft и Adobe, чтобы выдать работу майнера как доверенный процесс.
  • Если в системе одно процессорное ядро и отсутствует папка Bitcoin – будет установлен сетевой червь, который провоцирует распространение ПО на другие машины, подключенные к локальной сети.

 

Кроме того, Rahni проверяет наличие антивирусов и при их отсутствии попытается запустить несколько cmd команд в попытке отключить Windows Defender.

 

Действия модифицированного Rahni уже были зафиксированы на территории Украины, России, Казахстана, Германии и Индии.

Новый вирус заражает компьютеры майнером или вирусом-вымогателем обновлено: Июль 23, 2018 автором: Dmytro Monakov