[You must be registered and logged in to see this image.]Рансъмуер заплахите са
истински рай за киберпрестъпниците, носейки им сериозни суми пари, а освен криптографията, на помощ им идват
човешкото неблагоразумие (един от основните методи за разпространение на заплахите е посредством прикачени файлове в имейл съобщения, идващи от неизвестен получател),
уязвимостите, интегрирани в експлойт комплектите,
остарелите методи, използвани от антивирусната индустрия и все по-разпространеното
предлагане на киберпрестъпни действия като услуга (CaaS, crimeware as-a-service). Отделно от това, авторите на този тип заплахи не престават да развиват нови методи за създаване и доставянето им, като за последната подобна заплаха ни съобщават от
G DATA SecurityLabs.Manamecrypt, каквото име са дали на зловредната програма от немската компания,
демонстрира характеристиките на троянски кон. За разлика от много други рансъмуер заплахи, които биват доставяни посредством експлойт комплекти или чрез електронни писма, този рансъмъер
идва пакетиран с легитимни програми. В случая на прихванатите от компанията вирусни проби, става дума за
легитимен торент клиент µTorrent, чиито инсталационен файл е цифрово подписан. Методът на авторите на заплахата определено буди интерес. Легитимните приложения, които идват пакетирани с други програми често биват разпознавани от антивирусните програми като
потенциално нежелани приложения (PUA, potentially unwanted application). µTorrent не прави изключение от правилото. Немалко потребители пренебрегват предупрежденията на защитната програма или направо я деактивират, за да могат да инсталират приложението, идващо с препакетирания файл. Така Manamecrypt ще може да се инсталира спокойно на системата, избягвайки детекция. Самият зловред има изключително ниски нива на засичане от антивирусните програми и притежава характеристики, помагащи му да избегне засичането и анализа. А поради програмна грешка, когато бива запазен, името му се променя на uTorrent.exeuTorrent.exe, което може да събуди бдителността на жертвата.
Друго, което го отличава е, че копира файловете, а след това ги архивира в .RAR формат, триейки оригиналните файлове, след което криптира архива. Засече ли в паметта да тече процес, свързан с набор от фрази, сред които имената на защитен софтуер, той автоматично прекратява процеса.
Най-странното обаче за Manamecrypt е, че той е уязвим на атака и начинът за връщане на данните е изключително прост. Паролата за архива е комбинацията от SHA1 сумата на архива, което е името му и името на потребителя на системата.
/kaldata.com
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
