ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций
ATREX.RU
» Пресс релизы сегодняшнего дня
» Архив пресс-релизов
» Авторам от редакции
» Добавить пресс-релиз

Самое-самое //
Пресс-релизы // » Добавить пресс-релиз

В результате «бесплатного обновления до Windows 10» ваши файлы были зашифрованы

Статья группы сотрудников подразделения Talos (входит в состав компании Cisco, занимается исследованием и анализом угроз для информационной безопасности)
Как правило, всякое заметное событие воспринимается злоумышленниками как возможность обмануть пользователей и заразить их компьютеры вредоносным кодом. Такого рода киберпреступная деятельность сопровождает разнообразную общественную активность постоянно. Однако совсем недавно наше подразделение обнаружило спам-атаку, использовавшую в своих целях событие несколько иного рода.
29 июля корпорация Microsoft выпустила операционную систему Windows 10, которая распространяется в том числе в виде бесплатного обновления для пользователей предыдущих версий ОС — Windows 7 и Windows 8. Киберпреступники не замедлили воспользоваться этим событием в своих целях. В попытке обмануть пользователей и установить на их компьютеры программу-вымогатель они маскируют упомянутую спам-атаку под почтовую рассылку от корпорации Microsoft. А то обстоятельство, что пользователям приходится ждать обновления до Windows 10 в очереди, лишь увеличивает вероятность успешной реализации данной атаки.

Почтовое сообщение
Воспроизведенное выше почтовое сообщение — пример писем, получаемых потенциальными жертвами упомянутой спам-атаки. Оно имеет ряд важных признаков.
Во-первых, адрес отправителя: злоумышленники подделывают письмо таким образом, чтобы оно выглядело так, будто отправлено из корпорации Microsoft (updatemicrosoft.com). Столь нехитрым приемом киберпреступники расссчитывают заинтересовать получателей и побудить их продолжить чтение. Вместе с тем, если внимательно изучить заголовок письма, то можно увидеть, что на самом деле оно отправлено с таиландского сегмента IP-адресов.
Во-вторых, атакующие используют цветовую схему, аналогичную той, которую использует корпорация Microsoft.
В-третьих, в тексте письма есть настораживающие детали вроде неестественных символов. Это может быть связано с тем, что нестандартный набор символов используют либо злоумышленники, либо их целевая аудитория.
Наконец, имеется еще пара любопытных методов, применяемых киберпреступниками, чтобы сделать письмо более правдоподобным. Первый заключается в том, что письмо включает в себя правовую оговорку, аналогичную той, что содержится в письмах, действительно отправляемых корпорацией Microsoft. Кроме того, злоумышленники включают в письмо еще одну важную деталь, которую пользователи привыкли видеть в подобной переписке: сообщение о том, что письмо проверено антивирусом и не содержит в себе вредоносного кода. Данное сообщение содержит ссылку на популярный почтовый фильтр с открытым исходным кодом, что тоже может ввести в заблуждение кое-кого из пользователей.

Вредоносная нагрузка
После того, как пользователь прочитал письмо, загрузил содержащийся в нем архив, распаковал его и запустил содержимое, появляется сообщение, аналогичное этому:
Вредоносный код, содержащийся в письме — это CTB-Locker, одна из разновидностей программ-вымогателей. Подразделение Talos отмечает высокую интенсивность заражения подобным вредоносным ПО. Злоумышленники используют спам-атаки и эксплойт-наборы для того, чтобы распространять в Интернете множество самых разнообразных программ-вымогателей. При этом их назначение одинаково: с помощью ассиметричного шифрования заблокировать файлы пользователя таким образом, чтобы необходимый для расшифровки открытый ключ на зараженной системе отсутствовал. Кроме того, при помощи технологий Tor и Bitcoin злоумышленники получают возможность сохранять инкогнито и быстро и без лишнего риска получать денежные средства, поступающие в результате киберпреступлений.
Программа CTB-Locker имеет ряд интересных особенностей, выделяющих ее из основной массы программ-вымогателей, зафиксированных подразделением Talos. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA, CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.
Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. (Это гораздо меньше того, что дает большинство других программ-вымогателей).
Еще одна особенность CTB-Locker заключается в механизме взаимодействия с центром управления и контроля. Последние версии программ-вымогателей для обмена информацией с центром используют зараженные сайты, построенные на технологии Wordpress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.
Имеется еще несколько интересных аспектов, связанных с сетевыми коммуникациями CTB-Locker. Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных. Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.
Наконец, еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21. Этот порт ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее быстрый анализ данных, передаваемых CTB-Locker по данному порту, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.

ИК (индикаторы компрометации)
Тема
сообщения: Windows 10 Free Upgrade
Вложение: Win10Installer.zip (Win10Installer.exe)
SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (zip)
aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (исполняемый)
Сеть
Домен
rmxlqabmvfnw4wp4.onion.gq
IP-адрес
Полезная информация об IP-адресах недоступна, поскольку для взаимодействия с центром управления и контроля используется технология Tor.

Заключение
Угроза, исходящая от программ-вымогателей, будет расти до тех пор, пока злоумышленники не найдут более эффективных методов получения денежной выгоды от зараженных компьютеров. В качестве меры защиты пользователям настоятельно рекомендуется делать резервные копии своих данных. При этом такие копии должны храниться вне компьютера, чтобы у атакующих не было возможности получить доступ к ним.
Киберпреступники, повторяем, неустанно пытаются использовать любое заметное событие для обмана пользователей и заражения их компьютеров. Рассмотренная ситуация наглядно показывает, что даже обновление технологий может быть использовано к выгоде злоумышленников. Подразделение Talos работает над тем, чтобы своевременно обнаруживать и блокировать такие атаки до того, как пользователям будет нанесен ущерб.

Защита с помощью решений Cisco
Система Advanced Malware Protection (AMP) наилучшим образом приспособлена для предотвращения запуска подобного вредоносного ПО.
Решения для интернет-фильтрации CWS и WSA блокируют доступ к вредоносным сайтам и обнаруживают вредоносный код, используемый при подобных атаках.
Такие решения для безопасности сети, как система предотвращения вторжений и межсетевые экраны нового поколения , имеют актуальные сигнатуры для обнаружения вредоносной сетевой активности.
Решение для безопасности почтового шлюза ESA блокирует вредоносные письма, включая фишинговые и зараженные вложения, которые обычно являются частью кибератаки.

Метки: Cisco, Windows 10, информационная безопасность, ИБ, киберугрозы, кибератаки, злоумышленники, система Cisco AMP (Advanced Malware Protection).

О компании Cisco
Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.
Чистый объем продаж компании в 2014 финансовом году составил 47,1 млрд долларов, а в первые 9 месяцев 2015 финансового года — 36,3 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com.

Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.

Контактное лицо: Анастасия (написать письмо автору)
Компания: Cisco (все новости этой организации)
Добавлен: 14:00, 05.08.2015
Количество просмотров: 687
Страна: Россия

Разработана программа для автоматизации шахматных и шашечных турниров в среде Excel, Денисов А.С., 21:34, 04.07.2026, Россия
42
Программа жеребьёвки турниров по шахматам и шашкам в Excel. Швейцарская (до 50 игроков) и круговая (до 16) системы. Работает офлайн, автоматически сводит пары, считает рейтинг. Демо бесплатно, полная версия — 500–1000 руб/год. 🔗 https://www.breathgod.ru/p0131.htm


«1С‑Рарус» помог Solopharm усилить контроль логистики, охраны труда и обеспечить маркировку фармпрепаратов, 1С-Рарус, 22:00, 04.07.2026, Россия
449
В фармацевтической компании Solopharm реализован портфель проектов по развитию единой ИТ‑системы на базе «1С:ERP» и других решений 1С. «1С-Рарус» помог предприятию переехать на новый склад, навести порядок в НСИ, обеспечить прослеживаемость маркированной продукции и усилить контроль охраны труда.


Yotti подготовил чек-лист по мобильному интернету для зарубежных поездок, ООО «Йотти», 21:56, 04.07.2026, Россия
331
Travel-tech сервис Yotti подготовил чек-лист для путешественников, которые хотят заранее решить вопрос мобильного интернета за границей и не зависеть от роуминга, публичного Wi-Fi или покупки местной SIM-карты после прилёта.


VisionLabs получила премию за технологию распознавания дипфейков, MWS AI, 21:54, 04.07.2026, Россия
336
Российский разработчик технологий компьютерного зрения VisionLabs получил премию Generation AI Awards в номинации «Технологическая инновация года».


Серверная геоинформационная система NextGIS Web совместима с Astra Linux, Группа Астра, 21:52, 04.07.2026,
440
По результатам совместных испытаний специалисты «Группы Астра» и разработчики NextGIS подтвердили совместимость серверной платформы для пространственных данных с операционной системой Astra Linux. Это означает, что решение может использоваться в целях импортозамещения, для интеграции с другими компонентами защищенной инфраструктуры или для безопасного построения передовой ГИС‑системы с нуля.


«ГИГАНТ — Компьютерные системы» о том, почему фишинговые письма становятся опаснее для бизнеса, ГИГАНТ, 21:49, 04.07.2026, Россия
337
Эксперт «ГИГАНТ — Компьютерные системы» рассказал, почему мошенники чаще имитируют письма от регуляторов, медорганизаций и страховых компаний, а компании закладывают в ИБ-бюджеты обучение сотрудников и киберучения


Корпоративное хранилище данных для консалтинговой компании: автоматизация отчётности и единый источник достоверной информации, BI Consult, 21:48, 04.07.2026, Россия
342
Проект внедрения DWH (корпоративного хранилища данных) в ООО «Ай Пи Ти Групп» демонстрирует, как централизация данных из разных учетных систем и ручных файлов позволяет ускорить финансовый анализ и планирование в консалтинговом бизнесе. Об этом сообщили представители BI Consult.


Абоненты МегаФона первыми получили инструмент для подписи исходящих вызовов, МегаФон, 21:48, 04.07.2026, Россия
57
Абоненты МегаФона получили возможность указывать свое имя при исходящих вызовах. Оператор первым запустил услугу «Подпись номера», открыв частным лицам технологию, которая раньше была доступна только бизнесу. Принцип работы аналогичен решению для юридических лиц: на экране принимающего вызов появляется «визитка» с именем — и звонок перестаёт быть неизвестным.


К разгару летнего сезона на Байкале ускорили 4G, МегаФон, 21:47, 04.07.2026, Россия
54
Путешественники, местные жители, транзитные водители и их пассажиры теперь смогут быстрее загружать необходимые цифровые сервисы на своих смартфонах. Инженеры МегаФона в рамках подготовки к туристическому сезону провели работы по увеличению скорости и надёжности мобильного интернета на южном побережье Байкала.


МегаФон прокачает сеть на фестивале «Голос кочевников», МегаФон, 21:47, 04.07.2026, Россия
51
МегаФон поддержит крупнейшее музыкальное событие Дальнего Востока – фестиваль «Голос кочевников» в Бурятии. Чтобы праздник прошёл на высоких скоростях, а гости и участники могли делиться своими впечатлениями онлайн и быть всегда на связи, оператор развернёт передвижную базовую станцию на площадке мероприятия — турбазе «Асагад. Степной кочевник».


Разделы //


Новости по странам //
Сегодня у нас публикуются //
Разработано AVart.Стуdия © 2008-2026 atrex.ru
  Rambler's Top100