0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Самые опасные вирусы за последние 10 лет

Самые опасные вирусы за последние 10 лет

Среди огромного количества вредоносных программ встречаются уникальные особи. Изучив наиболее известные, мы представляем вам самые опасные вирусы последнего десятилетия.

Программа шифровала хранящиеся на компьютере файлы и требовала за их расшифровку выкуп — 300 долларов в биткоинах. Первые атаки вредителя были зафиксированы в Испании, всего же хакеры отметились более чем в 150 странах мира. В общей сложности от WannaCry пострадало 520 тысяч компьютеров – частных лиц, коммерческих организаций и правительственных учреждений. По числу заражений лидируют Россия, Украина и Индия. Среди пострадавших — МВД РФ, МегаФон, РЖД.

2017 — WannaCry.

Первые версии этого вируса появились ещё в 2016 году, но во всей красе он себя показал в июне 2017 года. Как и CryptoLocker, этот вирус специализируется на вымогательствах. Доступ к данным стоил минимум 300 долларов. Под угрозу попали энергетические компании, аэропорты и АЭС. Волна прокатилась по всему миру, начиная с Украины и России, и заканчивая европейскими странами. По мнению специалистов, целью злоумышленников было вовсе не получение денег, а причинение максимального ущерба.

2016 год — Petya

Regin можно классифицировать как троян, попадающий в компьютер через поддельные веб-страницы и загружающий в систему разные расширения, благодаря которым его никто не мог обнаружить. Одна немецкая газета заявила, что вирус был создан совместными усилиями США и Великобритании для шпионажа и наблюдения за Европой.

Этот вирус впервые обнаружили осенью 2014 года. Ключевой особенностью данного вируса является иммунитет к антивирусным программам – им он обладал до конца 2015 года!

2014 год — Regin

Выкуп принимался в виде биткойнов и в сумме представлял собой 400 долларов. Год спустя по BBC сообщили, что благодаря совместной работе ФБР, Интерпола и компании Fox-IT пострадавшие могут бесплатно расшифровать свои файлы.

Признан опаснейшим вирусом 2013 года. Шифруя важные для пользователя файлы, он предлагал заплатить выкуп, чтобы получить к ним доступ. Передаваясь по электронной почте, этот вирус был способен самоудаляться, а расшифровать заражённые файлы не могли даже эксперты.

2013 год — CryptoLocker

В конце лета 2012 года был обнаружен новый вирус, нападению которого подверглись энергетические и нефтяные сектора множества компаний. Ответственность на себя взяла группа неизвестных ранее злоумышленников под названием «Режущий меч правосудия». Более 30 000 рабочих станций подверглись атаке этого вируса. Впоследствии злоумышленники заявили, что вирус использовался для кибершпионажа в энергетическом секторе.

2012 год — Shamoon

В том же году эксперты из лаборатории Касперского обнаружили Duqu 2.0, улучшенную версию вредоносной программы, которая пыталась проникнуть в их сеть, чтобы украсть информацию, полезную для усовершенствования вирусов.

Вирус можно назвать натуральным шпионом, потому что в его функции входит собирать всю информацию с компьютера, от вводимых знаков до скриншотов рабочего стола, и воровать цифровые сертификаты. Более того, Duqu был замечен в удалении разного рода информации. В редких случаях он смог опустошить весь жёсткий диск. По словам специалистов, некоторые части вируса написаны на неизвестном языке программирования высокого уровня.

Основой для этой вредоносной программы послужил упомянутый ранее вирус Stuxnet, но, в отличие от оригинала, новая «зараза» создавалась под другие цели.

День знаний в 2011 году стал днём рождения нового вируса. Название читается и произносится как Дуку (Duqu). Несмотря на то, что при прочтении сразу вспоминается легендарная космическая сага «Звездные Войны», зародилось это имя вполне прозаически. В названии файлов, которые создаёт вирус, используется префикс –DQ.

2011 год — Duqu

Но самое интересное в этом вирусе то, кто на самом деле стоял за спиной работающих программистов. Летом 2012 года в New York Times вышла публикация о совместном проекте американской и израильской разведки, с очень говорящим названием «Операционные Олимпийские игры». Кроме того, тогдашний госсекретарь США Хилари Клинтон заявила, что проект по разработке вируса Stuxnet оказался успешным: он отбросит иранских разработчиков ядерной программы на несколько лет назад.

Зловредный червь инфицировал больше 200000 компьютеров и подвел тысячу машин под списание.

Начало лета 2010 года было омрачено появлением нового компьютерного червя. Stuxnet был признан узконаправленным вирусом, нацеленным только на специфическое программное обеспечение в Windows, которое называется Siemens Step7. Последнее используется для управления программируемыми логическими контроллерами, сокращенно ПЛК, которые в свою очередь задействованы на заводских сборочных линиях, развлекательных аттракционах и в центрифугах для отделения ядерного материала. Вредоносный паразит поначалу никак не влияет на систему и в ней не распространяется, но впоследствии само наличие этого вируса плохо отражается на общей системе.

2010 год — Stuxnet Worm

В 2009 году этот вирус нашёл распространение в интернет-кафе и был определён как «троян». Но впоследствии его классифицировали как Autorun-H, которому присуще копировать себя на все носители информации. Вирус остаётся активным даже в безопасном режиме, из-за этого от него трудно избавиться. Вот почему Daprosy Worm считается одним из самых опасных вирусов в мире.

2009 год — Daprosy Worm

Что интересно, точное происхождение Конфикера так и остается в тени. Был выпущен брифинг одной рабочей группы о том, что следы создателей вируса нужно искать в Украине. Но далее группа отказалась раскрывать найденные улики.

Под прицел крестных родителей зловредного червя угодили пользователи социальных сетей и обыкновенные обладатели электронного почтового ящика. С заражённых компьютеров злоумышленники собирали информацию о банковских карточках, паролях и других личных данных.

Но воистину дурную славу он обрёл, обойдя защиту Военно-морского флота Франции, министерства обороны Великобритании, госпиталей Шеффилда, немецкого бундесвера и норвежской полиции. В феврале 2009 года Microsoft назначила награду в 250 тысяч долларов за любую подсказку об авторах или одном злом гении, что подверг мир беспрецедентной опасности.

Также известен как Downup, Downadup, Kido. Червь начал победное шествие 21 ноября 2008 года. Вспыхнувшую эпидемию назвали крупнейшей после подобного инцидента в 2003 году. Conficker заразил приблизительно 15 миллионов компьютеров на платформе Windows.

2008 год — Conficker

К середине лета 2007 года число инфицированных компьютеров достигло 1,7 млн, к началу сентября уже терпели бедствие до 10 миллионов поражённых систем.

– ФБР против Facebook.

– Китайская/российская ракета сбила российский/китайский спутник/самолет;

– Государственный секретарь США Кондолиза Райс ударила канцлера Германии АнгелуМеркель;

Тысячи компьютеров были заражены в США и Европе письмом с ужасающим заголовком «Уже 230 погибших, шторм обрушился на Европу». После «Штормовой червь» взялся за рассылку с «волнующими» темами:

По утверждениям забугорных экспертов, родом эта троянская напасть из России, и первую атаку совершила 17 января 2007 года. Очень быстро выяснилось, что на тот момент это самый быстрораспространяющийся вирус, проникающий через электронную почту. Под видом новостной рассылки вредоносное письмо приходило на «мыло» и сразу же поражало воображение сенсационным заголовком. Следом пользователю предлагалось загрузить приложение, якобы чтобы посмотреть обещанный видеосюжет или статью.

Читать еще:  Sony продала более 13,5 миллионов PlayStation 4

Техническое описание

Эксплуатация уязвимости

Для повышения привилегий Trojan-Ransom.Win32.Sodin использует уязвимость в win32k.sys, попытки эксплуатации которой были впервые обнаружены нашими проактивными технологиями («Автоматическая защита от эксплойтов», AEP) еще в августе прошлого года. Уязвимость получила номер CVE-2018-8453. После исполнения эксплойта троянец получает максимальный уровень привилегий.

Информация о токене процесса после выполнения эксплойта

Фрагмент эксплойта по проверке класса окна

В зависимости от архитектуры процессора будет запущен один из двух содержащихся в теле троянца вариантов шелл-кода:

Процедура выбора подходящего варианта шелл-кода

Так как анализируемый нами бинарник является 32-разрядным исполняемым файлом, то для нас представляет интерес то, каким образом ему удается выполнить 64-битный код в своем адресном пространстве. На скриншоте изображен фрагмент шелл-кода, позволяющего выполнение 64-разрядных инструкций процессора:

Шелл-код, состоящий из 32- и 64-разрядных инструкций

В 64-разрядной ОС селектор 32-разрядного сегмента кода пользовательского режима равен 0x23, а селектор 64-х разрядного сегмента — 0x33. В этом нетрудно убедиться, взглянув на глобальную таблицу дескрипторов GDT в отладчике ядра:

Так выглядит часть GDT в OS Windows 10 x64

Селектор 0x23 указывает на четвертый дескриптор сегмента (0x23 >> 3), а селектор 0x33 — на шестой (нулевой дескриптор не используется). Флаг Nl говорит, что сегмент имеет 32-разрядную адресацию, а флаг Lo отмечает 64-разрядную. Важно то, что базовые адреса этих сегментов равны! На момент выполнения шелл-кода в сегментном регистре cs будет находиться селектор 0x23, т. к. код выполняется в 32-разрядном адресном пространстве. Имея это в виду, взглянем на листинг самого начала шелл-кода:

Сохранение полного адреса — 0x23:0xC

После выполнения команды по RVA-адресам 6 и 7 на вершине стека будет храниться длинный адрес возврата в формате селектор:смещение, он будет иметь вид 0x23:0x0C. По смещению 0x11 в стек кладется DWORD, младшее слово которого содержит селектор 0x33, а старшее слово кодирует в себе инструкцию retf, опкод которой равен 0xCB.

Сохранение полного адреса 0x33:0x1B на 64-разрядный код

Переход в 64-разрядный режим

Следующая инструкция — call (по адресу 0x16 RVA) — осуществляет ближний переход на данную инструкцию retf (по RVA — 0x14), предварительно отправив в стек ближний адрес возврата (смещение — 0x1b). Таким образом, на момент выполнения инструкции retf на вершине стека будет находиться адрес в формате селектор:смещение, где селектор равен 0x33, а смещение — 0x1b. После выполнения команды retf процессор приступит к выполнению кода по данному адресу, но уже в 64-разрядном режиме.

64-разрядный шелл-код

Возврат в 32-разрядный режим осуществляется в самом конце шелл-кода.

Возврат в 32-разрядный режим

Команда retf осуществит дальний переход по адресу 0x23:0x0C (его поместили в стек инструкций в самом начале шелл-кода — по RVA-адресу 6-7). Подобная техника выполнения 64-разрядного кода в 32-разрядном адресном пространстве процесса называется Heaven’s Gate и была описана приблизительно 10 лет назад.

Конфигурация троянца

В теле каждого образца Sodin в зашифрованном виде хранится конфигурационный блок, содержащий настройки и данные, необходимые троянцу для работы.

Расшифрованный конфигурационный блок троянца

В конфигурации Sodin есть следующие поля:

ПолеНазначение
pkпубличный ключ распространителя
pidвероятно, id распространителя
subвероятно, id кампании
dbgотладочная сборка
fastрежим быстрого шифрования (максимум 0x100000 байт)
wipeудаление определенных файлов с перезаписью их содержимого произвольными байтами
wfldназвания директорий, в которых троянец будет удалять файлы
whtназвания директорий, файлов, а также список расширений, которые не будут шифроваться
prcназвания процессов, которые будут завершены
dmnадреса серверов для отправки статистики
netотправка статистики о заражении
nbodyшаблон текста с требованиями
nnameшаблон имени файла с требованиями
expиспользование эксплоита для повышения привилегий
imgтекст для обоев рабочего стола

Криптографическая схема

Sodin использует гибридную схему для шифрования файлов жертвы. Содержимое файлов шифруется симметричным потоковым алгоритмом Salsa20, а ключи для него — асимметричным алгоритмом на эллиптических кривых. Рассмотрим схему в подробностях.

Так как некоторые данные сохраняются в реестре, мы будем использовать в статье те названия, которые используются самим шифровальщиком. Для тех сущностей, которые не попадают в реестр, будем использовать выдуманные.

Данные, сохраненные троянцем в реестре

Версии вируса FBI:

Вирус FBI Moneypak: Это вымогательское ПО показывает огромное предупредительное сообщение, в котором полно значков FBI и логотипов Moneypak, а также список преступлений, в совершении которых обвиняется пользователь. Жертве твердят, что она смотрела/распространяла порнографический контент или файлы, защищенные авторским правом. За это пользователя вынуждают заплатить штраф размером $100, после чего ввести подтвердительный код от Moneypak справа от сообщения. Этот вирус полностью блокирует систему.

Вирус FBI Green Dot Moneypak: Данный вымогатель также целиком блокирует систему, после чего показывает фальшивое предупредительное сообщение со значками FBI и Moneypak и логотипом McAfee. Лживое сообщение от данного вируса твердит, что Федеральное Бюро Розыска заблокировало систему из-за скачивания порнографического либо защищенного авторским правом контента. За это жертве выставляют счет размером $200. Есть и пошаговые инструкции о том, как оплачивать штраф.

Вирус FBI с черным экраном Очередной вымогатель из серии вирусов FBI не отличается оригинальностью, а использует те же техники, что и его “собратья”, требуя заплатить штраф размером $200. Кроме всего прочего этот вирус включает громкий предупредительный сигнал, показывая черный экран и блокируя систему. Он также будет обвинять Вас в нарушении закона, заявляя, что Вы посещали порнографические сайты и просматривали видео, содержащие зоофилию, детское порно и т.д.

Онлайн Агент FBI : И это вымогательское ПО пользуется добрым именем Федерального Бюро Розыска. Отличается оно тем, что предупредительное сообщение выглядит по-другому, обвиняющее пользователя в тяжких преступлениях и требуя штраф на $200, который надо оплатить через MoneyPak. Отличие вируса FBI Online Agent от “собратьев” в том, что он не показывает Ваш IP-адрес или местонахождения, а дает Вам имя агента, который якобы ведет следствие. Кроме того Вам предоставляют номер дела, которое на Вас якобы открыли, и много другой придуманной чепухи. В этой версии кроме всего прочего мошенники также обвиняют Вас в терроризме. Забавно.

Вирус Подразделения Киберпреступлений FBI: Опаснейшее вымогательское ПО. Программа будет твердить, что разработана отделением ФБР по раскрытию киберпреступлений. Данная версия содержит более 10 логотипов различных организаций (ФБР, MoneyPak и другие). Вирус пользуется все теми же схемами для обмана пользователей и кражи денег. В данном случае Вас попросят оплатить $300 с помощью платежной системы Moneypak. Не сомневайтесь в ложности всех обвинений от этой программы.

Вирус FBI PayPal: Эти вымогатели не имеют ничего общего с Федеральным Бюро Розыска. После попадания в систему программа блокирует экран и отключает подключение к интернету. Вам предложат заплатить штраф размером $100 за совершение придуманных преступлений вроде использования контента, защищенного авторским правом, или распространение вредоносных программ. В отличии от своих “собратьев” вирус FBI PayPal требует оплатить штраф с помощью платежной системы PayPal. Будьте осторожны с мошенниками.

Вирус Департамента Защиты FBI: Опаснейший вирус-вымогатель. Как и другие версии, это приложение требует оплатить $300 за то, что пользователь якобы нарушил законы США. Этот вирус также может блокировать компьютер и скрывать все содержащиеся на нем файлы. Особенность этой версии преложения в том, что она просит оплатить штраф через MoneyGram. Конечно же, не стоит поддаваться на уловки мошенников!

Вирус FBI с белым экраном: Эта киберинфекция относиться к категории вымогательского ПО и входит в группу вирусов FBI. Если Вам покажут белый экран с курсором, значит Вы заразились вирусом, но он не загрузился правильно. В случае, если вирусу удалось полноценно закрепиться в системе, у Вас появится огромное предупредительное сообщение от ФБР, обвиняющее Вас в просмотре детской порнографии и совершении других киберпреступлений. Смело игнорируйте такие предупреждения от вируса FBI и ни в коем случае не платите мошенникам деньги.

Читать еще:  Сергей Брин назван Google+ ошибкой

Вирус FBI киберприступлений и интелектуальной собственности: Эта вымогательская программа является опасным паразитом, который пытается завладеть компьютером после попадания в систему. Вместо рабочего стола у Вас появится огромное предупредительное сообщение о том, что компьютер заблокирован Вашим интернет провайдером в виду нескольких причин. Обычно пользователей обвиняют в просмотре и распространении контента, защищенного авторским правом, а также во многих других преступлениях, нарушающих законы США. Данная версия вируса ФБР просит жертву заплатить штраф размером $200.

Вирус FBI системной ошибки: Данный вирус является опасной угрозой. Этот паразит блокирует систему, показывая предупреждение с текстом: “Все, что Вы делали на данном компьютере было записано. Ваши файлы зашифрованы. Не пытайтесь восстановить компьютер!” Как и его “собратья”, этот вирус просит пользователя заплатить штраф размером $300 с помощью платежной системы REloadit. В случае появления такого предупреждения, не паникуйте, а просто скачайте надежную антивирусную программу.

Самые опасные вирусы за последние 10 лет

Среди огромного количества вредоносных программ встречаются уникальные особи. Изучив наиболее известные, мы представляем вам самые опасные вирусы последнего десятилетия.

Программа шифровала хранящиеся на компьютере файлы и требовала за их расшифровку выкуп — 300 долларов в биткоинах. Первые атаки вредителя были зафиксированы в Испании, всего же хакеры отметились более чем в 150 странах мира. В общей сложности от WannaCry пострадало 520 тысяч компьютеров – частных лиц, коммерческих организаций и правительственных учреждений. По числу заражений лидируют Россия, Украина и Индия. Среди пострадавших — МВД РФ, МегаФон, РЖД.

2017 — WannaCry.

Первые версии этого вируса появились ещё в 2016 году, но во всей красе он себя показал в июне 2017 года. Как и CryptoLocker, этот вирус специализируется на вымогательствах. Доступ к данным стоил минимум 300 долларов. Под угрозу попали энергетические компании, аэропорты и АЭС. Волна прокатилась по всему миру, начиная с Украины и России, и заканчивая европейскими странами. По мнению специалистов, целью злоумышленников было вовсе не получение денег, а причинение максимального ущерба.

2016 год — Petya

Regin можно классифицировать как троян, попадающий в компьютер через поддельные веб-страницы и загружающий в систему разные расширения, благодаря которым его никто не мог обнаружить. Одна немецкая газета заявила, что вирус был создан совместными усилиями США и Великобритании для шпионажа и наблюдения за Европой.

Этот вирус впервые обнаружили осенью 2014 года. Ключевой особенностью данного вируса является иммунитет к антивирусным программам – им он обладал до конца 2015 года!

2014 год — Regin

Выкуп принимался в виде биткойнов и в сумме представлял собой 400 долларов. Год спустя по BBC сообщили, что благодаря совместной работе ФБР, Интерпола и компании Fox-IT пострадавшие могут бесплатно расшифровать свои файлы.

Признан опаснейшим вирусом 2013 года. Шифруя важные для пользователя файлы, он предлагал заплатить выкуп, чтобы получить к ним доступ. Передаваясь по электронной почте, этот вирус был способен самоудаляться, а расшифровать заражённые файлы не могли даже эксперты.

2013 год — CryptoLocker

В конце лета 2012 года был обнаружен новый вирус, нападению которого подверглись энергетические и нефтяные сектора множества компаний. Ответственность на себя взяла группа неизвестных ранее злоумышленников под названием «Режущий меч правосудия». Более 30 000 рабочих станций подверглись атаке этого вируса. Впоследствии злоумышленники заявили, что вирус использовался для кибершпионажа в энергетическом секторе.

2012 год — Shamoon

В том же году эксперты из лаборатории Касперского обнаружили Duqu 2.0, улучшенную версию вредоносной программы, которая пыталась проникнуть в их сеть, чтобы украсть информацию, полезную для усовершенствования вирусов.

Вирус можно назвать натуральным шпионом, потому что в его функции входит собирать всю информацию с компьютера, от вводимых знаков до скриншотов рабочего стола, и воровать цифровые сертификаты. Более того, Duqu был замечен в удалении разного рода информации. В редких случаях он смог опустошить весь жёсткий диск. По словам специалистов, некоторые части вируса написаны на неизвестном языке программирования высокого уровня.

Основой для этой вредоносной программы послужил упомянутый ранее вирус Stuxnet, но, в отличие от оригинала, новая «зараза» создавалась под другие цели.

День знаний в 2011 году стал днём рождения нового вируса. Название читается и произносится как Дуку (Duqu). Несмотря на то, что при прочтении сразу вспоминается легендарная космическая сага «Звездные Войны», зародилось это имя вполне прозаически. В названии файлов, которые создаёт вирус, используется префикс –DQ.

2011 год — Duqu

Но самое интересное в этом вирусе то, кто на самом деле стоял за спиной работающих программистов. Летом 2012 года в New York Times вышла публикация о совместном проекте американской и израильской разведки, с очень говорящим названием «Операционные Олимпийские игры». Кроме того, тогдашний госсекретарь США Хилари Клинтон заявила, что проект по разработке вируса Stuxnet оказался успешным: он отбросит иранских разработчиков ядерной программы на несколько лет назад.

Зловредный червь инфицировал больше 200000 компьютеров и подвел тысячу машин под списание.

Начало лета 2010 года было омрачено появлением нового компьютерного червя. Stuxnet был признан узконаправленным вирусом, нацеленным только на специфическое программное обеспечение в Windows, которое называется Siemens Step7. Последнее используется для управления программируемыми логическими контроллерами, сокращенно ПЛК, которые в свою очередь задействованы на заводских сборочных линиях, развлекательных аттракционах и в центрифугах для отделения ядерного материала. Вредоносный паразит поначалу никак не влияет на систему и в ней не распространяется, но впоследствии само наличие этого вируса плохо отражается на общей системе.

2010 год — Stuxnet Worm

В 2009 году этот вирус нашёл распространение в интернет-кафе и был определён как «троян». Но впоследствии его классифицировали как Autorun-H, которому присуще копировать себя на все носители информации. Вирус остаётся активным даже в безопасном режиме, из-за этого от него трудно избавиться. Вот почему Daprosy Worm считается одним из самых опасных вирусов в мире.

2009 год — Daprosy Worm

Что интересно, точное происхождение Конфикера так и остается в тени. Был выпущен брифинг одной рабочей группы о том, что следы создателей вируса нужно искать в Украине. Но далее группа отказалась раскрывать найденные улики.

Под прицел крестных родителей зловредного червя угодили пользователи социальных сетей и обыкновенные обладатели электронного почтового ящика. С заражённых компьютеров злоумышленники собирали информацию о банковских карточках, паролях и других личных данных.

Но воистину дурную славу он обрёл, обойдя защиту Военно-морского флота Франции, министерства обороны Великобритании, госпиталей Шеффилда, немецкого бундесвера и норвежской полиции. В феврале 2009 года Microsoft назначила награду в 250 тысяч долларов за любую подсказку об авторах или одном злом гении, что подверг мир беспрецедентной опасности.

Также известен как Downup, Downadup, Kido. Червь начал победное шествие 21 ноября 2008 года. Вспыхнувшую эпидемию назвали крупнейшей после подобного инцидента в 2003 году. Conficker заразил приблизительно 15 миллионов компьютеров на платформе Windows.

2008 год — Conficker

К середине лета 2007 года число инфицированных компьютеров достигло 1,7 млн, к началу сентября уже терпели бедствие до 10 миллионов поражённых систем.

– ФБР против Facebook.

– Китайская/российская ракета сбила российский/китайский спутник/самолет;

– Государственный секретарь США Кондолиза Райс ударила канцлера Германии АнгелуМеркель;

Тысячи компьютеров были заражены в США и Европе письмом с ужасающим заголовком «Уже 230 погибших, шторм обрушился на Европу». После «Штормовой червь» взялся за рассылку с «волнующими» темами:

По утверждениям забугорных экспертов, родом эта троянская напасть из России, и первую атаку совершила 17 января 2007 года. Очень быстро выяснилось, что на тот момент это самый быстрораспространяющийся вирус, проникающий через электронную почту. Под видом новостной рассылки вредоносное письмо приходило на «мыло» и сразу же поражало воображение сенсационным заголовком. Следом пользователю предлагалось загрузить приложение, якобы чтобы посмотреть обещанный видеосюжет или статью.

Читать еще:  Телевизорами можно будет управлять движением пальца

Версии вируса FBI:

Вирус FBI Moneypak: Это вымогательское ПО показывает огромное предупредительное сообщение, в котором полно значков FBI и логотипов Moneypak, а также список преступлений, в совершении которых обвиняется пользователь. Жертве твердят, что она смотрела/распространяла порнографический контент или файлы, защищенные авторским правом. За это пользователя вынуждают заплатить штраф размером $100, после чего ввести подтвердительный код от Moneypak справа от сообщения. Этот вирус полностью блокирует систему.

Вирус FBI Green Dot Moneypak: Данный вымогатель также целиком блокирует систему, после чего показывает фальшивое предупредительное сообщение со значками FBI и Moneypak и логотипом McAfee. Лживое сообщение от данного вируса твердит, что Федеральное Бюро Розыска заблокировало систему из-за скачивания порнографического либо защищенного авторским правом контента. За это жертве выставляют счет размером $200. Есть и пошаговые инструкции о том, как оплачивать штраф.

Вирус FBI с черным экраном Очередной вымогатель из серии вирусов FBI не отличается оригинальностью, а использует те же техники, что и его “собратья”, требуя заплатить штраф размером $200. Кроме всего прочего этот вирус включает громкий предупредительный сигнал, показывая черный экран и блокируя систему. Он также будет обвинять Вас в нарушении закона, заявляя, что Вы посещали порнографические сайты и просматривали видео, содержащие зоофилию, детское порно и т.д.

Онлайн Агент FBI : И это вымогательское ПО пользуется добрым именем Федерального Бюро Розыска. Отличается оно тем, что предупредительное сообщение выглядит по-другому, обвиняющее пользователя в тяжких преступлениях и требуя штраф на $200, который надо оплатить через MoneyPak. Отличие вируса FBI Online Agent от “собратьев” в том, что он не показывает Ваш IP-адрес или местонахождения, а дает Вам имя агента, который якобы ведет следствие. Кроме того Вам предоставляют номер дела, которое на Вас якобы открыли, и много другой придуманной чепухи. В этой версии кроме всего прочего мошенники также обвиняют Вас в терроризме. Забавно.

Вирус Подразделения Киберпреступлений FBI: Опаснейшее вымогательское ПО. Программа будет твердить, что разработана отделением ФБР по раскрытию киберпреступлений. Данная версия содержит более 10 логотипов различных организаций (ФБР, MoneyPak и другие). Вирус пользуется все теми же схемами для обмана пользователей и кражи денег. В данном случае Вас попросят оплатить $300 с помощью платежной системы Moneypak. Не сомневайтесь в ложности всех обвинений от этой программы.

Вирус FBI PayPal: Эти вымогатели не имеют ничего общего с Федеральным Бюро Розыска. После попадания в систему программа блокирует экран и отключает подключение к интернету. Вам предложат заплатить штраф размером $100 за совершение придуманных преступлений вроде использования контента, защищенного авторским правом, или распространение вредоносных программ. В отличии от своих “собратьев” вирус FBI PayPal требует оплатить штраф с помощью платежной системы PayPal. Будьте осторожны с мошенниками.

Вирус Департамента Защиты FBI: Опаснейший вирус-вымогатель. Как и другие версии, это приложение требует оплатить $300 за то, что пользователь якобы нарушил законы США. Этот вирус также может блокировать компьютер и скрывать все содержащиеся на нем файлы. Особенность этой версии преложения в том, что она просит оплатить штраф через MoneyGram. Конечно же, не стоит поддаваться на уловки мошенников!

Вирус FBI с белым экраном: Эта киберинфекция относиться к категории вымогательского ПО и входит в группу вирусов FBI. Если Вам покажут белый экран с курсором, значит Вы заразились вирусом, но он не загрузился правильно. В случае, если вирусу удалось полноценно закрепиться в системе, у Вас появится огромное предупредительное сообщение от ФБР, обвиняющее Вас в просмотре детской порнографии и совершении других киберпреступлений. Смело игнорируйте такие предупреждения от вируса FBI и ни в коем случае не платите мошенникам деньги.

Вирус FBI киберприступлений и интелектуальной собственности: Эта вымогательская программа является опасным паразитом, который пытается завладеть компьютером после попадания в систему. Вместо рабочего стола у Вас появится огромное предупредительное сообщение о том, что компьютер заблокирован Вашим интернет провайдером в виду нескольких причин. Обычно пользователей обвиняют в просмотре и распространении контента, защищенного авторским правом, а также во многих других преступлениях, нарушающих законы США. Данная версия вируса ФБР просит жертву заплатить штраф размером $200.

Вирус FBI системной ошибки: Данный вирус является опасной угрозой. Этот паразит блокирует систему, показывая предупреждение с текстом: “Все, что Вы делали на данном компьютере было записано. Ваши файлы зашифрованы. Не пытайтесь восстановить компьютер!” Как и его “собратья”, этот вирус просит пользователя заплатить штраф размером $300 с помощью платежной системы REloadit. В случае появления такого предупреждения, не паникуйте, а просто скачайте надежную антивирусную программу.

Генерация ключей

Итак, в конфиге Sodin содержится поле pk, оно же попадает в реестр под именем sub_key — это 32-байтовый публичный ключ распространителя троянца. Ключ является точкой на эллиптической кривой Curve 25519.

При запуске троянец генерирует новую пару сессионных ключей на эллиптической кривой; публичный ключ из этой пары сохраняется в реестре под именем pk_key, а приватный будет зашифрован по алгоритму ECIES на ключе sub_key и сохранен в реестре под именем sk_key. Реализация ECIES в данном случае включает кривую Curve 25519, криптографический хэш SHA3-256 и блочный шифр AES-256 в режиме CFB. Другие реализации ECIES встречались в троянцах и ранее — например, в шифровальщике SynAck.

Любопытный момент: тот же сессионный приватный ключ будет зашифрован и на другом публичном ключе, «зашитом» в теле троянца вне зависимости от конфигурации. Будем называть его public skeleton key. Результат шифрования сохраняется в реестре под именем 0_key. Получается, что человек, знающий приватный ключ, соответствующий public skeleton key, сможет расшифровать файлы жертвы, даже если не имеет приватного ключа от sub_key. Это выглядит так, будто разработчик троянца встроил в алгоритм лазейку, позволяющую ему расшифровать файлы без ведома распространителей.

Фрагмент процедуры, генерирующей ключевые данные и сохраняющей некоторые из них в реестре

Шифрование файлов

При шифровании каждого файла генерируется новая пара асимметричных ключей на эллиптической кривой, назовем их file_pub и file_priv. Затем вычисляется SHA3-256(ECDH(file_priv, pk_key)), и результат используется как симметричный ключ для шифрования содержимого файла алгоритмом Salsa20. В зашифрованном файле сохраняется также следующая информация:

Данные, сохраняемые в каждом зашифрованном файле

Помимо уже рассмотренных выше полей здесь также есть nonce (произвольные инициализационные 8 байт для шифра Salsa20), file_pub_crc32 (контрольная сумма от file_pub), flag_fast (если он выставлен, значит в файле зашифрована только часть данных), zero_encr_by_salsa (нулевой dword, зашифрованный тем же ключом Salsa20, что и содержимое файла, — видимо, для проверки правильности расшифровки).

Зашифрованные файлы получают новое произвольное расширение (одно и то же для каждого случая заражения), рядом с ними сохраняется текст с требованиями, а на рабочий стол устанавливаются сгенерированные зловредом обои.

Требования злоумышленников

Фрагмент обоев рабочего стола, созданных шифровальщиком

Сетевое взаимодействие

Если соответствующий флаг выставлен в конфигурационном блоке, троянец будет отправлять на свои серверы информацию о зараженной машине. Передаваемые данные также шифруются по алгоритму ECIES с помощью еще одного публичного ключа, зашитого в теле Sodin.

Часть конфигурации Sodin, отвечающая за сетевое взаимодействие

ПолеНазначение
verверсия троянца
pidвероятно, id распространителя
subвероятно, id кампании
pkпубличный ключ распространителя
uidid заражения
skзначение sk_key (см. описание выше)
unmимя пользователя зараженной системы
netимя машины
grpдомен/рабочая группа машины
lngязык системы
broпопадает ли язык или раскладка в системе в список (ниже)
osверсия ОС
bitархитектура
dskинформация о дисках в системе
extрасширение зашифрованных файлов

В процессе исполнения троянец осуществляет проверку языка системы и имеющихся раскладок клавиатуры:

В случае обнаружения совпадений со списком процесс зловреда завершается, и до отправки статистики дело не доходит.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector