Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Przegląd aktywności wirusów według Doctor Web – listopad 2015

30 listopada 2015

Listopad 2015 zapadnie nam w pamięć z przyczyny rozpowszechnienia się Linux.Encoder.1, ransomware szyfrującego pliki dla systemów Linux. Ten enkoder jest jednak daleki od tego, aby zostać pierwszym programem tego typu stanowiącym zagrożenie dla użytkowników Linuxa. Już w sierpniu 2014 Doctor Web informował o wirusie Trojan.Encoder.737 zdolnym do szyfrowania plików zapisanych na serwerach Synology NAS. Co więcej, przed rozpowszechnieniem się Linux.Encoder.1 wykryto przynajmniej dwie modyfikacje tego malware. Jednakże to Linux.Encoder.1 był tym, którego złośliwa aktywność rozpowszechniła się w najszerszym stopniu. Na postawie danych z wyszukiwarki Google, ten enkoder zdołał zainfekować ponad 3000 stron www na całym świecie.

GŁÓWNE TRENDY LISTOPADA

  • Ponad 3000 komputerów zainfekowanych przez niebezpiecznego Linux.Encoder.1
  • Rozpowszechnienie się malware uzyskującego nieautoryzowany dostęp do zaatakowanych komputerów
  • Nowe złośliwe programy dla Microsoft Windows i Androida

Zagrożenie miesiąca

Głównym celem dystrybutorów wirusa Linux.Encoder.1 byli właściciele stron www stworzonych z użyciem systemów zarządzania treścią (CMS) WordPress i Magento. Podczas ataków twórcy wirusa wykorzystywali niezdefiniowane podatności. Eksperci twierdzą, że enkoder nie potrzebuje uprawnień root’a — wystarczają mu uprawnienia konta www-data (tego samego, które jest wykorzystywane przez serwer www Apache). Do 12 listopada Linux.Encoder.1 prawdopodobnie zainfekował ponad 2000 stron www, co można oszacować na podstawie wyników wyszukiwania w Google otrzymanych po podaniu w polu wyszukiwania nazwy pliku z żądaniami cyberprzestępców. Jednakże do 24 listopada liczba zaatakowanych stron www przekroczyła 3000.

screen #drweb

Enkoder pracuje na serwerze z zaatakowaną stroną www, wykorzystując skrypt powłoki wstrzyknięty wcześniej do systemu CMS. Z pomocą tego samego skryptu hakerzy osadzają na serwerze kolejny plik, będący w rzeczywistości programem typu dropper dla Linux.Encoder.1. Przypuszcza się, że po otrzymaniu komendy od cyberprzestępców, dropper identyfikuje architekturę systemu operacyjnego (32 lub 64 bity), wypakowuje ze swojego kodu odpowiednią próbkę ransomware szyfrującego pliki, uruchamia ją i inicjuje swoje własne usunięcie się. Uruchomiony na zaatakowanym serwerze, trojan szyfruje wszystkie pliki w katalogach dla których posiada uprawnienia do zapisu. Następnie złośliwy program zapisuje na dysku serwera plik README_FOR_DECRYPT.txt zawierający instrukcje odszyfrowania plików i żądania cyberprzestępców. Jeśli z jakiegoś powodu trojan uzyska szersze uprawnienia, jego złośliwa aktywność nie będzie ograniczona wyłącznie do katalogów serwera www.

screen #drweb

Strona www może być zainfekowana z następujących powodów: nieprawidłowych ustawień wprowadzonych przez administratorów strony, zbyt późnej instalacji aktualizacji bezpieczeństwa systemu CMS, używania przestarzałej wersji CMS-a i zhakowanych komercyjnych elementów i modułów dla WordPress’a i Magento, itp.

Z przyczyny, że kod Linux.Encoder.1 posiada kilka znaczących luk i błędów, dane zaszyfrowane przez trojana mogą być odszyfrowane. Możesz zaznajomić się bliżej z cechami tego malware zaglądając do przeglądu lub szczegółowych badań badań tego trojana opublikowanych przez Doctor Web.

Najpopularniejsze zagrożenia na podstawie statystyk zebranych przez Dr.Web CureIt!

screen #drweb

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

screen #drweb

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

screen #drweb

Botnety

Analitycy bezpieczeństwa Doctor Web kontynuują monitorowanie botnetów stworzonych przez cyberprzestępców z użyciem infektora plików Win32.Rmnet.12. Średnia dzienna aktywność tych botnetów w listopadzie została pokazana na następujących diagramach:

screen #drweb

screen #drweb

Rmnet to rodzina wirusów rozpowszechniających się bez interwencji użytkownika. Mogą one wbudowywać zawartość w załadowane strony www (co teoretycznie daje cyberprzestępcom możliwość uzyskania dostępu do informacji o kontach bankowych ofiar) jak i wykradać ciasteczka i hasła zapisane w popularnych klientach FTP i wykonywać inne polecenia wydawane przez cyberprzestępców.

Również botnet składający się z komputerów zainfekowanych wirusem Win32.Sector wciąż pozostaje aktywny. Jego średnią dzienną aktywność można zobaczyć na następującej ilustracji:

screen #drweb

To malware potrafi wykonywać następujące działania:

W październiku specjaliści zarejestrowali spadek liczby ataków DDoS z użyciem wirusa Linux.BackDoor.Gates.5. W listopadzie liczba takich ataków nadal kontynuowała ten trend – ilość zaatakowanych stron www spadła o 27,9% i wyniosła 3641. Tym razem pierwsze miejsce przypadło Chinom, a Stany Zjednoczone zajęły drugą pozycję.

screen #drweb

Ransomware szyfrujące pliki

screen #drweb

Najpopularniejsze programy ransomware w listopadzie 2015

Wsparcie techniczne Doctor Web otrzymuje zgłoszenia z prośbą o odszyfrowanie plików nie tylko od rosyjskich użytkowników, ale i od obcokrajowców. Doctor Web pomaga w odszyfrowaniu informacji użytkownikom z krajów całej Europy. W listopadzie wsparcie techniczne Doctor Web otrzymało pewną ilość zgłoszeń z prośbą o odszyfrowanie plików od właścicieli stron www doświadczonych wirusem Linux.Encoder.1. Warto zauważyć, że wszystkie znane narzędzia plikowe używane do odszyfrowywania plików zmodyfikowanych przez Linux.Encoder.1 nie usuwają skryptu powłoki z zainfekowanego serwera — tym samym cyberprzestępcy mogą później użyć go jeszcze raz w celu ponownego zainfekowania systemu. To dlatego specjaliści pomocy technicznej Doctor Web pomagają wszystkim właścicielom stron www w usunięciu z ich systemów dodatkowych złośliwych programów i w ochronie ich maszyn przed potencjalnymi, przyszłymi atakami przeprowadzanymi z użyciem tego skryptu.

Dr.Web Security Space 11.0 dla Windows
chroni przed ransomware szyfrującym pliki

Ta funkcja nie jest dostępna w Antywirusie Dr.Web dla Windows

Zapobieganie Utracie Danych
Zapobieganie Utracie DanychZapobieganie Utracie Danych

Więcej informacji

Linux

Linux.Encoder.1 jest daleki od pozostawania jedynym enkoderem stanowiącym zagrożenie dla użytkowników systemu Linux. Analitycy zajmujący się bezpieczeństwem informacji wykryli co najmniej dwóch reprezentantów tego malware, którzy ujrzeli światło dzienne przed Linux.Encoder.1, jednakże przez bardzo długi czas te konkretne modyfikacje nie były poddane szczegółowym badaniom przez analityków bezpieczeństwa.

W szczególności, nowy trojan nazwany Linux.Encoder.2 różni się od swoich odpowiedników wykorzystaniem innego generatora numerów pseudolosowych i szyfrowaniem plików z użyciem biblioteki OpenSSL (nie PolarSSL, jak Linux.Encoder.1). Co więcej, szyfrowanie jest przeprowadzane w trybie AES-OFB-128 z ponowną inicjalizacją kontekstu co każde 128 bajtów, czyli co każde 8 bloków AES. W Linux.Encoder.2 znalazło się również się kilka innych znaczących zmian wynikających z alternatywnego wykonywania się tego enkodera. Po więcej szczegółów na temat tego malware zapraszamy do artykułu.

Co więcej, w listopadzie analitycy bezpieczeństwa Doctor Web wykryli wirusa Linux.Sshcrack.1 łamiącego kombinację loginu i hasła z użyciem specjalnego słownika (technika brute-force) w celu uzyskania nieautoryzowanego dostępu do różnych urządzeń.

Inne złośliwe aplikacje

W połowie listopada specjaliści Doctor Web przebadali cały pakiet złośliwych programów dystrybuowanych przez cyberprzestępców. Pakiet ten, ukrywający się pod postacią dokumentu RTF został nazwany BackDoor.RatPack. Z chwilą otworzenia dokumentu następowało rozszyfrowanie złośliwego pliku i zapisanie go na komputerze ofiary. Warto zauważyć, że plik, będący w rzeczywistości instalatorem, posiadał ważny podpis cyfrowy (jak prawie wszystkie pozostałe pliki z pakietu BackDoor.RatPack).

screen #drweb

Uruchomiony, instalator skanuje system pod kątem maszyn wirtualnych, programów monitorujących i debuggerów. Następnie inicjuje wyszukiwanie aplikacji bankowych pochodzących od kilku rosyjskich organizacji finansowych. „Arsenał” instalatora zawiera w sobie modyfikację programu shareware nazwanego Remote Office Manager — analitycy bezpieczeństwa Doctor Web wykryli co najmniej trzy wersje tego programu różniące się ustawieniami konfiguracyjnymi. Przechwytując kilka funkcji systemowych złośliwy program jest zdolny do ukrycia skrótów narzędzia w pasku zadań i obszarze powiadomień systemu Windows, uniemożliwiając użytkownikowi wykrycie obecności programu. Można przypuszczać, że cyberprzestępcy wykorzystują BackDoor.RatPack do wkradania informacji bankowych i innych poufnych danych poprzez zdalnie kontrolowanie zaatakowanej maszyny. Po więcej informacji zapraszamy do artykułu opublikowanego przez Doctor Web.

Niebezpieczne strony www

W ciągu listopada 2015 do bazy Dr.Web dodano 670545 URL’i niezalecanych stron www.

październik 2015listopad 2015Dynamika
+ 264 970+ 670 545+ 153 %

Niezalecane strony www

Złośliwe i niechciane programy dla Androida

Listopad okazał się być dość spokojnym miesiącem dla użytkowników urządzeń mobilnych. Tym niemniej w listopadzie cyberprzestępcy wciąż próbowali infekować tablety i smartfony, jednak wszystkie wykryte złośliwe i niechciane programy były natychmiast dodawane do bazy wirusów Dr.Web. W szczególności analitycy bezpieczeństwa Doctor Web wykryli program reklamowy dla Androida, który był instalowany przez trojana i wyświetlał denerwujące powiadomienia na wierzchu aplikacji uruchamianych przez użytkownika. Co więcej, podczas całego miesiąca urządzenia z Androidem były atakowane przez programy ransomware, trojany bankowe, trojany SMS i inne niebezpieczne aplikacje. Poza tym w listopadzie analitycy bezpieczeństwa wykryli kolejną modyfikację trojana infekującego urządzenia z systemem iOS.

Pośród najbardziej godnych uwagi wydarzeń listopada odnoszących się do malware dla urządzeń mobilnych możemy wymienić:

Dowiedz się więcej na temat złośliwych i niechcianych programów dla urządzeń mobilnych z naszego specjalnego przeglądu.

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A