Вирус-вымогатель научился заражать компьютеры через поисковик Google

компьютер

Ведущий разработчик антивирусного ПО ESET произнес о новеньком способе распространения вредной программки Nymaim, которая может перекрыть компьютер юзера с целью получения выкупа за расшифровку.Как сообщается, с конца сентября две тыщи тринадцать года внимание профессионалов завлекла уже известная вирус Nymaim – троян с функциями вымогателя.Ранее инфецирование этим ПО производилось с помощью известного набора взломщиков-эксплойтов BlackHole, которые применяли имеющиеся на компьютере уязвимости приложений или ОС для доставки вредного кода. Но не так издавна появились сведенья о том, что создатель набора BlackHole был задержан в Русской Федерации.

Похоже, в этой связи правонарушители стали использовать новый способ инфецирования юзеров.С конца сентября было зафиксировано много обнаружений этой вредной программки посреди загруженных с помощью браузера файлов. Спецы установили, что реферальные ссылки, ведущие на загрузку вредных файлов, принадлежат Гугл.

Это указывает, что перед заражением пользователь ввел в Гугл-поиск некоторый запрос и кликнул на одну из ссылок в поисковой выдаче.Согласно итогам изучения веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения преступники применяли т.н. "чёрную поисковую оптимизацию" (Black Hat SEO), благодаря которой продвигали намерено созданные вредоносные страницы в топ выдачи по популярным главным словам.Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, наименование которого – для увеличения доверия пользователей – соответствует введенному в строчок поиска тексту. Т.е. одинаковый архив будет загружен с различными именами, в зависимости от поискового запроса. Вот пару примеров найденных специалистами ESET названий одного файла:video-studio-x4.exespeakout-pre-intermediate-wb-pdf.exenew-headway-beginner-3rd-edition.exedonkey-kong-country-3-rom-portugues.exebarbie-12-dancing-princesses-soundtrack.exeПо словам представителей ESET, Win32/Nymaim передаёт совокупность в два этапа. Попав на компьютер, первый вредоносный файл осуществляет запуск и скрытую загрузку второго файла, что, со своей стороны, также может загружать дополнительное вредоносное ПО, быть может и просто блокировать ОС чтобы получить выкуп.Аналитики нашли более десятка вариантов экрана блокировки, созданных на различных языках и с разным оформлением.

Нетрудно додуматься, что их целью были пользователи из различных Северной Америки и стран Европы. Сейчас найдены экраны блокировки из Австрии, Англии, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Но, этот перечень не окончателен скорее всего, существуют пострадавшие и в других государствах. Пользователь из любой страны возможно заражен.Примечательно, что цена выкупа отличается для различных государств.

В большинстве из отысканных экранов блокировки цена выкупа образовывает около сто пятьдесят американских долларов, однако пользователей из америки просят заплатить за разблокировку самую большую цену – триста долларов; в Румынии же зараженный пользователь может отделаться "всего лишь" сто евро, т.е. около сто тридцать пять долларов. Аналитики утверждают, что вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в ходе которой вредоносные Apache-модули передают легальные веб-сервера, что ведет к перенаправлению пользователей на вредоносные сайты.

Эта кампания, именуемая The Home Campaign, длится с февраля две тысячи одиннадцать года. Согласно данным свободных изучений, за это время преступники заразили практически три млн компьютеров.

Блог обо всем на земле