Fiedor Sinicyn
13 maja 2016 Petya: Trojan dwa w jednym Fiedor Sinicyn |
Infekowanie głównego rekordu rozruchowego (MBR) nie jest niczym nowym w świecie szkodliwych programów. Już w 1994 roku pojawił się wirus OneHalf, który infekował MBR i szyfrował zawartość dysku. Jednak szkodnik ten nie wyłudzał pieniędzy. W 2011 r. zaczęły rozprzestrzeniać się trojany blokujące MBR (Trojan-Ransom.Win32.Mbro), które infekowały główny rekord rozruchowy i uniemożliwiały dalsze załadowanie się systemu operacyjnego. Ofiara musiała zapłacić okup, aby problem został rozwiązany. Jednak wyleczenie systemu zainfekowanego takimi trojanami było łatwe, ponieważ poza MBR-em programy te zwykle nie szyfrowały żadnych danych na dysku.
Obecnie pojawiło się nowe zagrożenie, które znacznie przewyższa to z przeszłości. Trojan Petya (wykrywany przez produkty firmy Kaspersky Lab pod nazwą Trojan-Ransom.Win32.Petr) infekuje MBR, uniemożliwiając normalne załadowanie systemu, i szyfruje główną tabelę...
Analizy
Blog
W lutym 2016 roku Internetem wstrząsnęła epidemia wywołana nowym trojanem wyłudzającym okup: Locky (wykrywanym przez produkty firmy Kaspersky Lab jako Trojan-Ransom.Win32.Locky). Trojan ten aktywnie rozprzestrzenia się do dnia dzisiejszego. Produkty firmy Kaspersky Lab zarejestrowały próby zainfekowania użytkowników tym trojanem w 114 krajach na całym świecie.
Z analizy próbek wynika, że trojan ten to całkowicie nowe zagrożenie typu ransomware, które zostało napisane od zera. A zatem, czym jest Locky i jak możemy się przed nim zabezpieczyć?
Rozprzestrzenianie
W celu rozprzestrzeniania tego trojana cyberprzestępcy rozsyłają masowe wysyłki z załączonymi szkodliwymi programami ładującymi.
Początkowo, szkodliwe wiadomości spamowe zawierały załączony plik DOC z macro, które pobierało trojana Locky ze zdalnego serwera i wykonywało go.
Wiadomość spamowa z załączonym szkodliwym dokumentem
Fragment...
Analizy
Blog