06.10.2017: Анализ кода веб-майнеров, встроенных в страницы многих сайтов

В последнее время все большую популярность приобретает скрытый майнинг криптовалюты различными способами. Так, совсем недавно появилась возможность добычи “денежных битов” с помощью своего сайта.

Для этой цели в код страницы встраивается специальный скрипт с ссылкой на сам онлайн-пул (coin-hive) и личным id номером. Таким образом, каждый посетитель, в процессе посещения сайта, становится частью системы добычи Monero (т. к. данная валюта наиболее хорошо майнится на процессорах).

Сам по себе подобный вид майнинга на CPU не несет какого-либо прямого вреда, однако может причинить неудобства Вам из-за замедления работы компьютера. Поэтому в антивирусе Rusprotect Security есть защитный модуль, анализирующий веб-страницы и блокирующий опасный и потенциально нежелательный код. Таким образом, Вы сможете продолжать просмотр сайта, однако добыча Monero будет заблокирована.

05.10.2017: Эпидемия шифровальщиков распространяется с помощью Java-скриптов

В базу антивирусного продукта Rusprotect Security было занесено много троянских программ класса Ransomware, однако в последнее время все чаще попадаются так называемые скрипты-загрузчики, которые относятся к виду Trojan.Downloader и сами по себе вредоносной активности не проявляют. После запуска подобного вируса включается обработчик скриптов Windows и загружает с сервера злоумышленника само тело шифровальщика, после чего активирует исходный образец.

Подобное вредоносное программное обеспечение обычно распространяется через электронную почту и прикрепляется к письму как документ. К сожалению, образцы июля 2017 года до сих пор не обнаруживают такие распространенные антивирусы, как Avast, AVG, Avira, Dr Web, Kaspersky, Malwarebytes и Windows Defender:

virustotal.com/ru/file/6b2c9fed7048e20bf253b61ffd3ae613d9f26b14baeb27c49f6df0f5a25e6fa3/analysis/1501243935

04.10.2017: Новая опасная разновидность троянских программ-вымогателей nRansom

21 сентября на сайт с образцами вирусов VirusTotal загрузили образец необычной программы: вирус-вымогатель nRansom блокирует компьютер и требует выкуп в виде обнаженных фотографий пользователя.

Обычно такие вирусы требуют перечислить какую-то сумму на биткоин-кошелек злоумышленников. Но в этом случае на экране появляется инструкция, в которой говорится, что пользователь должен связаться с хакерами по электронной почте, а затем отправить им как минимум 10 обнаженных фото.

«После этого нам нужно будет убедиться, что это ваши фотографии. Как только это произойдет, мы пришлем вам код для разблокировки компьютера. А ваши фото мы продадим в глубокой сети», — говорится в сообщении.

Исходя из результатов анализа представленного образца, ни один из популярных антивирусных продуктов не смог обнаружить данный вирус, включая антивирус Касперского, Avira и т. д, вследствие чего им заразилось свыше 10 000 человек.

В настоящее время троянские программы-вымогатели, включая SMS-локеры и шифровальщики, проявляют высокую активность и широко распространены в России. Именно поэтому мы рекомендуем использовать Rusprotect Security, в котором присутствует технология Analyze Guard для обнаружения совершенно новых видов вредоносного программного обеспечения.