Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

«Доктор Веб»: обзор вирусной активности в ноябре 2015 года

Скачать в PDF

30 ноября 2015 года

Ноябрь 2015 войдет в историю благодаря появлению информации о распространении шифровальщика для операционных систем семейства Linux, получившего наименование Linux.Encoder.1. Этот энкодер — далеко не первый из тех, что представляли опасность для пользователей ОС Linux: еще в августе 2014 года компания «Доктор Веб» сообщала о появлении троянца Trojan.Encoder.737, способного шифровать хранящиеся в сетевых хранилищах производства компании Synology файлы. Кроме того, распространению Linux.Encoder.1 предшествовало появление еще как минимум двух версий этой вредоносной программы. Вместе с тем именно деструктивная деятельность Linux.Encoder.1 имела наиболее массовый характер: согласно данным поисковой системы Google, этот энкодер сумел заразить более 3000 веб-сайтов по всему миру.

Главные тенденции ноября

  • Заражение более 3000 сайтов опасным троянцем-шифровальщиком Linux.Encoder.1
  • Распространение вредоносных программ, открывающих несанкционированный доступ к инфицированному компьютеру
  • Появление новых троянцев для Microsoft Windows и мобильной платформы Google Android

Угроза месяца

Основной целью вирусописателей, распространявших троянца-энкодера Linux.Encoder.1, стали владельцы веб-сайтов, работающих под управлением таких популярных CMS, как WordPress, Magento и других. При проведении атак использовалась неустановленная пока уязвимость. Как выяснили эксперты, данному шифровальщику для работы не требуются права root — вполне достаточно привилегий пользователя www-data, то есть прав приложения, работающего от имени веб-сервера. По данным на 12 ноября Linux.Encoder.1 предположительно инфицировал более 2000 сайтов — такой вывод можно сделать, выполнив в Google поиск по имени файла с требованиями злоумышленников. Однако уже к 24 ноября число подобных интернет-ресурсов превысило 3000.

screen #drweb

Троянец запускается на сервере, где расположен атакуемый веб-сайт, с помощью ранее внедренного в систему управления контентом шелл-скрипта. С использованием этого скрипта злоумышленники размещают на сервере в той же папке другой файл, представляющий собой дроппер троянца-энкодера Linux.Encoder.1. Активизировавшись по команде киберпреступников, дроппер определяет архитектуру работающей на сервере операционной системы (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется. Запустившись на атакуемом сервере, троянец шифрует файлы в папках, для которых у него имеются права на запись. После этого он сохраняет на диске сервера файл с именем README_FOR_DECRYPT.txt, содержащий инструкции по расшифровке файлов и требования злоумышленников. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера.

screen #drweb

Причин, по которым веб-сайт может оказаться инфицированным данной вредоносной программой, может быть несколько: неправильная настройка администраторами веб-сервера, несвоевременная установка обновлений безопасности систем управления контентом, использование устаревших версий CMS, а также «взломанных» коммерческих компонентов или модулей WordPress, Magento и пр.

В силу того, что создатели Linux.Encoder.1 допустили в коде шифровальщика ряд существенных ошибок, данные, поврежденные этим энкодером, поддаются расшифровке. Об особенностях работы этой вредоносной программы можно узнать, ознакомившись с опубликованной на сайте компании «Доктор Веб» информационной статьей и более подробным исследованием данного троянца.

По данным статистики лечащей утилиты Dr.Web CureIt!

screen #drweb

По данным серверов статистики «Доктор Веб»

screen #drweb

Статистика вредоносных программ в почтовом трафике

screen #drweb

Ботнеты

Специалисты компании «Доктор Веб» продолжают внимательно следить за деятельностью двух подсетей ботнета, состоящего из компьютеров, инфицированных файловым вирусом Win32.Rmnet.12. Активность этих бот-сетей в ноябре 2015 года демонстрируют следующие графики:

screen #drweb

screen #drweb

Rmnet — это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.

Как и прежде, продолжает действовать бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Sector. График среднесуточной активности этого ботнета показан на следующей иллюстрации:

screen #drweb

Данная вредоносная программа обладает следующими деструктивными функциями:

Тенденция к снижению числа DDoS-атак с использованием Linux-троянца Linux.BackDoor.Gates.5, наметившаяся еще в прошлом месяце, продолжилась и в ноябре. Количество атакованных киберпреступниками интернет-ресурсов сократилось на 27.9% и составило 3641. Абсолютным лидером по числу атак является Китай, на втором месте расположились США.

screen #drweb

Троянцы-шифровальщики

screen #drweb

Наиболее распространенные шифровальщики в ноябре 2015 года:

Запросы на расшифровку файлов поступают в службу технической поддержки не только из России, но и из-за рубежа. Компания «Доктор Веб» активно помогает пользователям европейских стран, пострадавшим от троянцев-энкодеров. Кроме того, в ноябре в службу технической поддержки компании «Доктор Веб» обращались владельцы сайтов, инфицированных шифровальщиком Linux.Encoder.1. Следует отметить, что известные на сегодняшний день утилиты, предназначенные для расшифровки поврежденных Linux.Encoder.1 файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым они могут воспользоваться впоследствии для повторного заражения системы. Поэтому специалисты службы технической поддержки компании «Доктор Веб» помогают всем обратившимся за помощью в расшифровке файлов владельцам веб-сайтов очистить систему от посторонних вредоносных объектов и обезопасить ее от возможных атак с использованием этого скрипта в будущем.

Dr.Web Security Space 11.0 для Windows
защищает от троянцев-шифровальщиков

Этого функционала нет в лицензии Антивирус Dr.Web для Windows

Защита данных от потери
Превентивная защитаЗащита данных от потери

Подробней Смотрите видео о настройке

Вредоносные программы для Linux

Наделавший много шума троянец-шифровальщик Linux.Encoder.1 оказался далеко не единственным энкодером, угрожающим пользователям данной операционной системы. Специалистам по информационной безопасности стало известно как минимум о двух других представителях этого семейства вредоносных программ, появившихся раньше Linux.Encoder.1, однако в течение длительного времени не попадавших в поле зрения аналитиков антивирусных компаний.

Так, троянец, получивший название Linux.Encoder.2, отличается от своих аналогов тем, что использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1) и шифрует данные в режиме AES-OFB-128. При этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Также в Linux.Encoder.2 имеется ряд других существенных отличий от альтернативной реализации этого энкодера. Более подробную информацию об этой вредоносной программе можно почерпнуть в опубликованной нами статье.

Кроме того, в ноябре вирусные аналитики компании «Доктор Веб» обнаружили троянца Linux.Sshcrack.1, предназначенного для получения несанкционированного доступа к различным устройствам путем подбора логина и пароля по словарю (брутфорс).

Другие вредоносные программы

В середине ноября специалисты «Доктор Веб» исследовали целый пакет вредоносных программ, получивших общее наименование BackDoor.RatPack. Киберпреступники распространяли его в виде документа в формате RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Примечательно, что этот файл, представляющий собой программу-установщик, имеет действительную цифровую подпись (как, впрочем, почти все файлы из комплекта BackDoor.RatPack).

screen #drweb

При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций. Полезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты компании «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить. Можно предположить, что с применением BackDoor.RatPack злоумышленники пытаются получить доступ к банковским счетам и конфиденциальной информации жертв путем удаленного управления зараженным компьютером. Подробности об этом инциденте – в опубликованной на сайте компании «Доктор Веб» информационной статье.

Опасные сайты

В течение ноября 2015 года в базу нерекомендуемых и вредоносных сайтов было добавлено 670 545 интернет-адресов.

Октябрь 2015Ноябрь 2015Динамика
+ 264 970+ 670 545+ 153 %

Нерекомендуемые сайты

Вредоносное и нежелательное ПО для Android

Последний осенний месяц оказался относительно спокойным для владельцев мобильных устройств. Тем не менее, в ноябре киберпреступники не оставляли попыток заразить смартфоны и планшеты разнообразным вредоносным и нежелательным ПО, которое оперативно вносилось в вирусную базу Dr.Web. В частности, вирусные аналитики компании «Доктор Веб» выявили весьма неприятное рекламное Android-приложение, которое устанавливалось в систему при помощи троянца и демонстрировало навязчивые уведомления поверх запускаемых пользователями программ. Также в течение всего месяца владельцам Android-смартфонов и планшетов угрожали троянцы-вымогатели, банкеры, СМС-троянцы и другие опасные приложения. Помимо этого в ноябре был обнаружен очередной вариант троянца, заражающего устройства под управлением iOS.

Наиболее заметные события, связанные с «мобильной» безопасностью в ноябре:

Более подробно о вирусной обстановке для мобильных устройств в ноябре читайте в нашем обзоре.

Узнайте больше с Dr.Web

Вирусная статистика Библиотека описаний Все обзоры о вирусах Лаборатория-live