ПОСЛЕДНИЕ НОВОСТИ
$
10
За просмотр новости вы заработаете
10 баллов

Участвуй в работе сайта и зарабатывай!
Узнать подробности и свой рейтинг

Русские хакеры создали вымогатель WildFire

Команда исследователей Cisco OpenDNS представила отчет о малвари WildFire, которую с недавних пор активно распространяет крупный ботнет Kelihos.

Русские хакеры создали вымогатель WildFire
Русские хакеры создали вымогатель WildFire

Эксперты пишут, что пока шифровальщик WildFire еще малоизвестен на рынке, но, судя по всему, он является новой версией вредоносов Zyklon и GNL, и был создан русскоязычными хакерами.

WildFire распространяется стандартным для шифровальщиков способом: через спамерские письма, к которым приложены вредоносные документы Word. Используя социальную инженерию, злоумышленники убеждают пользователей открыть такой файл, после чего срабатывают вредоносные макросы, и в систему попадает вымогательское ПО.

Исследователи сообщили, что исходные коды WildFire пока остаются загадкой, так как малварь прошла несколько стадий обфускации: сначала был задействован ConfuserEx, затем какой-то неизвестный криптер, и после .NET Reactor. Тем не менее, экспертам удалось установить, что WildFire связывается управляющими серверами на четырех разных доменах, где регистрирует инфекцию, получает пароль и user ID.

Специалисты MalwareHunterTeam, которые тоже изучили новую инфекцию, отмечают, что взломать шифрование WildFire, не получив пароль, невозможно.

Исследовав C&C-серверы вредоноса, команда OpenDNS обнаружила в коде одного из доменов комментарии на русском языке, из чего был сделан вывод, что за угрозой, возможно, стоят русскоговорящие преступники. Также удалось установить, что сервер заработал 20 июня 2016 года, и лишь через день, 21 июня, специалисты заметили WildFire впервые.

Специалисты MalwareHunterTeam тоже заметили комментарии на русском языке. В частности, в старой версии инструмента для дешифровки данных присутствовала фраза: «Алты́нного во́ра ве́шают, а полти́нного че́ствуют».

По данным экспертов, в настоящее время WildFire атакует только пользователей из Голландии. Скорее всего, злоумышленники пока только тестируют свое детище, прежде чем отпустить его «в большое плавание», хотя WildFire и выглядит уже законченным продуктом.

Ранее, в апреле-мая 2016 года, WildFire был известен под именами Zyklon и GNL. Тогда было замечено, что шифровальщик атаковал пользователей из Германии и Нидерландов. В то время вымогатель подменял расширения зашифрованных файлов на .locked и .zyklon.

По данным OpenDNS, спам-кампания по распространению WildFire стартовала в двадцатых числах июня 2016 года, но настоящую активность мошенники начали проявлять лишь после 11 июля текущего года. Графики ниже демонстрируют значительный прирост вредоносных писем в этот период времени.

Эксперты полагают, что WildFire имеет все шансы превратиться в серьезную угрозу, так как за этим шифровщиком определенно стоят профессионалы, а не очередные скрипт-кидди, арендовавшие малварь в даркнете.

Поделитесь информацией с друзьями!

Просто нажми на кнопки соцсетей внизу!

Источник

 

Комментарии (1)

Ай, молодцы русские хакеры ))))))

Добавить комментарий

Filtered HTML

  • Разрешённые HTML-теги: <em> <strong> <cite> <blockquote> <ul> <ol> <li> <dl> <dt> <dd> <br> <br />
  • Строки и параграфы переносятся автоматически.
  • Search Engines will index and follow ONLY links to allowed domains.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки. Ссылки на сторонние не рекламные источники необходимо вставлять в виде http://orskportal.ru/outlink/адрес...
  • Строки и параграфы переносятся автоматически.
4 + 6 =
Введите ответ в пустое поле. Например для 1+3 введите 4.