1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Обнаружен новый вымогатель, способный обходить UAC

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 9 фев 2017.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.485
    Симпатии:
    9.201
    Обнаружен новый вымогатель, способный обходить UAC
    [​IMG]

    Вредоносное ПО Erebus требует 0,085 биткойна за восстановление файлов.

    Исследователь безопасности MalwareHunterTeam обнаружил потенциально новое семейство вымогательского ПО под названием Erebus, обладающее рядом интересных функций. В минувшем году эксперты TrendMicro сообщили о появлении крипто-вымогателя с аналогичным названием, однако несколько различий свидетельствуют о том, что в данном случае речь может идти о переработанной версии Erebus либо о совершенно новом вымогателе под таким же названием.

    В настоящее время метод распространения Erebus неизвестен. Вредоносная программа обладает рядом особенностей, в числе которых способность обхода механизма UAC (Контроль учетных записей) для повышения прав на системе и чрезвычайно низкая сумма выкупа в размере 0,085 биткойна (порядка $90) за восстановление зашифрованных файлов.

    Метод обхода UAC заключается в следующем. Вредонос копирует себя в системную папку как файл со случайным именем и затем вносит изменения в реестр Windows с целью подмены ассоциации для файлового расширения .msc и исполнения этого файла со случайным именем. Далее Erebus запускает файл eventvwr.exe (Просмотр событий), который автоматически открывает файл eventvwr.msc. Поскольку msc-файл больше не связан с mmc.exe (Консоль управления), то eventvwr.exe запустит файл вымогателя. Просмотр событий работает в режиме с повышенными правами, поэтому исполняемый файл будет иметь те же привилегии, что позволит обойти UAC.

    Erebus подключается к ipecho.net/plain и ipinfo.io/country для определения IP-адреса жертвы, а также ее местоположения. Затем вредонос загружает Tor-клиент и использует его для подключения к управляющему серверу. Вымогатель осуществляет поиск документов с определенными расширениями и шифрует файлы при помощи алгоритма AES, а их расширения с помощью ROT-23. Далее на экран выводится сообщение с требованием выкупа за восстановление информации, содержащее уникальный идентификатор, который может использоваться в качестве логина на платежном портале, список зашифрованных документов и кнопку для осуществления оплаты.

    Обнаружен новый вымогатель, способный обходить UAC
     
    dzu нравится это.

Поделиться этой страницей