Правоохранительные органы Европы, ФБР и компания Bitdefender объявили о выходе расшифровщика данных для потерпевших от вредоносного программного обеспечения. Новый продукт может справиться как с новейшими версиями GandCrab, так и с более старыми.
GandCrab – малварь, которая принесла разработчикам более 2 миллиардов долларов. Злоумышленники, используя RaaS-портал, получали доступ к GandCrab, после чего распространяли спам. Специалисты по безопасности сообщают, что этот вирус был самым вредоносным на протяжении 2018-2019 годов.
В мае этого года была совершена атака на городскую сеть города Ривьера-Бич, впоследствии чего, не функционирует официальный сайт, почтовый сервер и еще несколько систем. Властям пришлось заплатить выкуп около 600 000 долларов, чтобы возобновить работу городских служб.
В июне текущего года создатели вредоносной программы объявили об уходе с рынка, при этом, удалив ключи для расшифровки зараженных файлов.
Компания Bitdefender в симбиозе с DIICOT, ФБР и европейскими правоохранительными органами запустили дешифровщик, с помощью которого производители получили доступ к ключам, для восстановления данных.
Ситуаций с похищениями данных или взломом сетей очень много. Недавно специалисты Kasperskyобнародовали отчет о вредоносе Plurox. Этот вирус объединяет функционал бэкдора, майнера и червя. Так же Plurox является модульным решением, то есть, возможно расширить функционал с помощью плагинов.
Исследователи, изучая этот вирус, обнаружили несколько плагинов. Один из них — это UPnP-плагин, предназначен для атак на локальную сеть. С его помощью достаточно 5 минут для того, чтобы перебрать эксполиты для сервисов, работающих на этих портах. Плагин похож на инструмент EternalSilence. Различие только в том, что он пробрасывает 135 порт, вместо 139.
Trojan.MonsterInstall – это модульный троян-загрузчик, который распространяется посредством сайтов с читам для видеоигр. Малварь написана на JavaScript, а для запуска использует Node.js.
Создатели вредоносного ПО для распространения используют не только свои же ресурсы с читами, но и заражают файлы на других подобных сайтах. Злоумышленникам принадлежат следующие ресурсы:
румайнкрафт[.]рф;
clearcheats[.]ru;
mmotalks[.]com;
minecraft-chiter[.]ru;
torrent-igri[.]com;
worldcodes[.]ru;
cheatfiles[.]ru.
При запуске, троян устанавливает необходимые модули, собирает информацию о системе, после чего передает на главный сервер. Получив ответ, начинает добычу криптовалюты TurtleCoin. Вредонос перестает работать, если обнаруживается разница в миллисекундах, так как перед загрузкой троян сравнивает значения dataTime в ответе сервера.
