 fox
II/IDEC networks :: habra.16 :: / Security Week 48: локер с техподдержкой, мутации Mirai, уязвимость в Firefox и Tor
|
Login |
[#]
Security Week 48: локер с техподдержкой, мутации Mirai, уязвимость в Firefox и Tor
habrabot(difrex,1) — All
2016-12-03 07:30:03
![][1]Начнем наш пятничный вечерний дайджест с новости о криптолокере, который настолько плох с технической точки зрения, что это даже интересно. Хотя я не могу достоверно знать, что происходит по ту сторону ландшафта угроз, могу представить, как создатели более приличных троянов-вымогателей комментируют данное творение в стиле мастера Безенчука из «Двенадцати стульев». "_Уже у них и матерьял не тот, и отделка похуже, и кисть жидкая, туды ее в качель_".
Троян VindowsLocker (да, именно так, через V) подробно описан специалистами компании Malwarebytes и независимым исследователем TheWack0lian ([новость][2], [исследование][3]). После шифрования данных троян предлагает позвонить в техподдержку (бесплатный звонок на территории США, все как у приличных людей), и обсудить возможность выкупа в 350 долларов. Командного центра нет, вместо него троян отправляет ключи для разблокировки на pastebin. Сделано все максимально криво: в большинстве случаев ключ нормально не отправляется, соответственно и преступники его не видят. То есть деньги (после переговоров) они собрать могут, а расшифровать данные — нет.
После звонка в «техподдержку» происходит следующее: создается сессия RDP, и скаммеры прямо на компьютере пользователя сначала открывают официальную страницу техподдержки Microsoft, а поверх ее — форму регистрации, где мотивируют жертв передать им номер соц. страхования и кредитной карты с секретным кодом. В этом косноязычном киберпостмодернизме, если постараться, можно разглядеть попытку нацелить криптолокерский бизнес на более широкую аудиторию — ту, что с биткоином и даркнетом справиться не сможет. Но нет, на самом деле это просто просто очень плохой троян.
[Читать дальше →][4]
[1]: https://habrastorage.org/files/2bb/02b/e54/2bb02be5459448ed8ec70ed33a915ff9.jpg
[2]: https://threatpost.ru/novyj-vymogatel-pritvoryaetsya-tehpodderzhkoj-windows/19398/
[3]: https://www.bleepingcomputer.com/news/security/vindowslocker-ransomware-mimics-tech-support-scam-not-the-other-way-around/
[4]: https://habrahabr.ru/post/316750/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-12-03 07:30:03
![][1]Начнем наш пятничный вечерний дайджест с новости о криптолокере, который настолько плох с технической точки зрения, что это даже интересно. Хотя я не могу достоверно знать, что происходит по ту сторону ландшафта угроз, могу представить, как создатели более приличных троянов-вымогателей комментируют данное творение в стиле мастера Безенчука из «Двенадцати стульев». "_Уже у них и матерьял не тот, и отделка похуже, и кисть жидкая, туды ее в качель_".
Троян VindowsLocker (да, именно так, через V) подробно описан специалистами компании Malwarebytes и независимым исследователем TheWack0lian ([новость][2], [исследование][3]). После шифрования данных троян предлагает позвонить в техподдержку (бесплатный звонок на территории США, все как у приличных людей), и обсудить возможность выкупа в 350 долларов. Командного центра нет, вместо него троян отправляет ключи для разблокировки на pastebin. Сделано все максимально криво: в большинстве случаев ключ нормально не отправляется, соответственно и преступники его не видят. То есть деньги (после переговоров) они собрать могут, а расшифровать данные — нет.
После звонка в «техподдержку» происходит следующее: создается сессия RDP, и скаммеры прямо на компьютере пользователя сначала открывают официальную страницу техподдержки Microsoft, а поверх ее — форму регистрации, где мотивируют жертв передать им номер соц. страхования и кредитной карты с секретным кодом. В этом косноязычном киберпостмодернизме, если постараться, можно разглядеть попытку нацелить криптолокерский бизнес на более широкую аудиторию — ту, что с биткоином и даркнетом справиться не сможет. Но нет, на самом деле это просто просто очень плохой троян.
[Читать дальше →][4]
[1]: https://habrastorage.org/files/2bb/02b/e54/2bb02be5459448ed8ec70ed33a915ff9.jpg
[2]: https://threatpost.ru/novyj-vymogatel-pritvoryaetsya-tehpodderzhkoj-windows/19398/
[3]: https://www.bleepingcomputer.com/news/security/vindowslocker-ransomware-mimics-tech-support-scam-not-the-other-way-around/
[4]: https://habrahabr.ru/post/316750/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut