В результате «бесплатного обновления до Windows 10» ваши файлы были зашифрованы

microsoft.com). Столь нехитрым приемом киберпреступники расссчитывают заинтересовать получателей и побудить их продолжить чтение. Вместе с тем, если внимательно изучить заголовок письма, то можно увидеть, что на самом деле оно отправлено с таиландского сегмента IP-адресов.
Во-вторых, атакующие используют цветовую схему, аналогичную той, которую использует корпорация Microsoft.
В-третьих, в тексте письма есть настораживающие детали вроде неестественных символов. Это может быть связано с тем, что нестандартный набор символов используют либо злоумышленники, либо их целевая аудитория.
Наконец, имеется еще пара любопытных методов, применяемых киберпреступниками, чтобы сделать письмо более правдоподобным. Первый заключается в том, что письмо включает в себя правовую оговорку, аналогичную той, что содержится в письмах, действительно отправляемых корпорацией Microsoft. Кроме того, злоумышленники включают в письмо еще одну важную деталь, которую пользователи привыкли видеть в подобной переписке: сообщение о том, что письмо проверено антивирусом и не содержит в себе вредоносного кода. Данное сообщение содержит ссылку на популярный почтовый фильтр с открытым исходным кодом, что тоже может ввести в заблуждение кое-кого из пользователей.

Вредоносная нагрузка
После того, как пользователь прочитал письмо, загрузил содержащийся в нем архив, распаковал его и запустил содержимое, появляется сообщение, аналогичное этому:
Вредоносный код, содержащийся в письме — это CTB-Locker, одна из разновидностей программ-вымогателей. Подразделение Talos отмечает высокую интенсивность заражения подобным вредоносным ПО. Злоумышленники используют спам-атаки и эксплойт-наборы для того, чтобы распространять в Интернете множество самых разнообразных программ-вымогателей. При этом их назначение одинаково: с помощью ассиметричного шифрования заблокировать файлы пользователя таким образом, чтобы необходимый для расшифровки открытый ключ на зараженной системе отсутствовал. Кроме того, при помощи технологий Tor и Bitcoin злоумышленники получают возможность сохранять инкогнито и быстро и без лишнего риска получать денежные средства, поступающие в результате киберпреступлений.
Программа CTB-Locker имеет ряд интересных особенностей, выделяющих ее из основной массы программ-вымогателей, зафиксированных подразделением Talos. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA, CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.
Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. (Это гораздо меньше того, что дает большинство других программ-вымогателей).
Еще одна особенность CTB-Locker заключается в механизме взаимодействия с центром управления и контроля. Последние версии программ-вымогателей для обмена информацией с центром используют зараженные сайты, построенные на технологии Wordpress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.
Имеется еще несколько интересных аспектов, связанных с сетевыми коммуникациями CTB-Locker. Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных. Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.
Наконец, еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21. Этот порт ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее быстрый анализ данных, передаваемых CTB-Locker по данному порту, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.

ИК (индикаторы компрометации)
Тема
сообщения: Windows 10 Free Upgrade
Вложение: Win10Installer.zip (Win10Installer.exe)
SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (zip)
aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (исполняемый)
Сеть
Домен
rmxlqabmvfnw4wp4.onion.gq
IP-адрес
Полезная информация об IP-адресах недоступна, поскольку для взаимодействия с центром управления и контроля используется технология Tor.

Заключение
Угроза, исходящая от программ-вымогателей, будет расти до тех пор, пока злоумышленники не найдут более эффективных методов получения денежной выгоды от зараженных компьютеров. В качестве меры защиты пользователям настоятельно рекомендуется делать резервные копии своих данных. При этом такие копии должны храниться вне компьютера, чтобы у атакующих не было возможности получить доступ к ним.
Киберпреступники, повторяем, неустанно пытаются использовать любое заметное событие для обмана пользователей и заражения их компьютеров. Рассмотренная ситуация наглядно показывает, что даже обновление технологий может быть использовано к выгоде злоумышленников. Подразделение Talos работает над тем, чтобы своевременно обнаруживать и блокировать такие атаки до того, как пользователям будет нанесен ущерб.

Защита с помощью решений Cisco
Система Advanced Malware Protection (AMP) наилучшим образом приспособлена для предотвращения запуска подобного вредоносного ПО.
Решения для интернет-фильтрации CWS и WSA блокируют доступ к вредоносным сайтам и обнаруживают вредоносный код, используемый при подобных атаках.
Такие решения для безопасности сети, как система предотвращения вторжений и межсетевые экраны нового поколения , имеют актуальные сигнатуры для обнаружения вредоносной сетевой активности.
Решение для безопасности почтового шлюза ESA блокирует вредоносные письма, включая фишинговые и зараженные вложения, которые обычно являются частью кибератаки.

Метки: Cisco, Windows 10, информационная безопасность, ИБ, киберугрозы, кибератаки, злоумышленники, система Cisco AMP (Advanced Malware Protection).

О компании Cisco
Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.
Чистый объем продаж компании в 2014 финансовом году составил 47,1 млрд долларов, а в первые 9 месяцев 2015 финансового года — 36,3 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com.

Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.

Контактное лицо: Анастасия (написать письмо автору)
Компания: Cisco (все новости этой организации)
Добавлен: 14:00, 05.08.2015
Количество просмотров: 648
Страна: Россия

Игорь Сиротин, ГИГАНТ: как внедрение умного чата помогает улучшить клиентский опыт, ГИГАНТ, 20:46, 19.10.2025, Россия	184
Руководитель направления интернет-маркетинга компании “ГИГАНТ Компьютерные системы” дал комментарий изданию “компьютерра” о том, зачем компаниям нужен умный чат и как его внедрение помогает улучшить клиентский опыт.

Эксперты определили округа-лидеры по уровню зрелости HR, Nexign, 21:37, 17.10.2025, Россия	390
Команды Neon HRM, HR-клуба «Как делать»и форума «Персонал Экспо» сравнили уровень автоматизации HR в федеральных округах России.

От автоматизации до кодогенерации: на Axenix PRO IT в Ростове-на-Дону обсудили тренды ИТ, Axenix, 20:22, 17.10.2025, Россия	64
16 октября в Ростове-на-Дону прошла конференция Axenix PRO IT. Участники встречи обсудили, как меняется процесс разработки ПО с приходом искусственного интеллекта, какие существуют возможности для автоматизации процесса тестирования и как ускорить работу с брокером сообщений.

«Синтерра Медиа» развивает технологии в области распространения сигналов точного времени, Синтерра Медиа, 21:30, 17.10.2025, Россия	385
«Синтерра Медиа» по итогам первых восьми месяцев 2025 года обеспечила передачу сигналов синхронизации по протоколу PTP v.2 для более 25-ти критических объектов инфраструктуры (КИИ) федеральных компаний в различных регионах России по собственной национальной медиасети с микросекундной точностью.

«1С-Рарус» провел исследование эффективности дроп-дисплеев в обувной сети, 1С-Рарус, 21:20, 17.10.2025, Россия	259
Эксперты «1С-Рарус» провели исследование эффективности рекламы на дроп-дисплеях в сети магазинов обувного ритейлера в трех крупных ТЦ Москвы. Системы видеоаналитики показали: несмотря на изменения трафика торговых центров, дроп-дисплеи стабильно привлекают внимание покупателей и способствуют росту посещаемости магазинов сети.

ЕДИНЫЙ ЦУПИС внедрил Altcraft Platform при поддержке NOVARDIS, NOVARDIS, 21:15, 17.10.2025, Россия	259
ЕДИНЫЙ ЦУПИС — платежный сервис в регулируемой индустрии развлечений. В рамках проекта специалисты NOVARDIS совместно с экспертами ЕДИНОГО ЦУПИС разработали архитектуру решения, выполнили настройку платформы и реализовали комплексную интеграцию с внутренними сервисами.

«Кузница кода»: Галэкс принял участие в открытии ИТ-лабораторий в АлтГТУ, Галэкс, 21:13, 17.10.2025, Россия	248
7 октября в Алтайском государственном техническом университете им. И. И. Ползунова презентовали образовательные пространства для подготовки ИТ-специалистов. Оснастить новые аудитории современным оборудованием помогли ведущие ИТ-компании региона. Галэкс выступил одним из ключевых партнеров проекта

«Платформа Третье Мнение» и «ЭлНетМед» договорились о развитии единой ИИ-экосистемы для цифрового здравоохранения в России, ЭлНетМед, 21:13, 17.10.2025, Россия	57
Разработчик ИИ-решений в здравоохранении «Платформа Третье Мнение» и разработчик цифровой платформы N3.Health, компания «ЭлНетМед», заключили меморандум о сотрудничестве на площадке Международного конгресса «Информационные технологии в медицине 2025».

«Рейтинг Рунета»: в финансовом секторе затраты на диджитал- и маркетинговые услуги у одного заказчика в 3,5 раза больше, чем в среднем по рынку, Рейтинг Рунета, 21:11, 17.10.2025, Россия	52
Сервис для подбора и оценки диджитал-подрядчиков «Рейтинг Рунета» провел исследование проектов для финансовых и инвестиционных компаний.

Вышел новый сервис «1С-Рарус:Диаграммы», 1С-Рарус, 21:11, 17.10.2025, Россия	53
«1С-Рарус» выпустил новый сервис, который позволяет получать дополнительную визуализацию непосредственно в программах 1С. Сервис облегчает анализ больших объемов данных и упрощает процесс принятия решений за счет простых и наглядных картинок, которые можно дополнить расшифровками.