Компания
249,66
рейтинг
3 января 2015 в 14:45

Разное → Win32/Virlock – первый саморазмножающийся вымогатель

Вредоносная программа Win32/Virlock представляет из себя первый известный на сегодняшний день вымогатель (ransomware), который специализируется на заражении исполняемых файлов, т. е. ведет себя как файловый вирус. Virlock умеет блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы пользователя, а также размножать свое тело как полиморфный вирус.



Семейства вымогателей, который мы наблюдали ранее, фактически, можно разделить на две большие группы: блокировщики экрана (LockScreen) и шифровальщики файлов (Filecoder). В первом случае вымогатель блокирует пользователю доступ к рабочему столу до получения выкупа, а во втором шифрует файлы пользователя, делая невозможным их использование. При этом сообщение с требованием выкупа может появится в качестве обоев рабочего стола, в виде открытого текстового файла, а также через простое окно (как в случае с Cryptolocker).

В некоторых случаях, вымогатель может применить гибридный подход и содержать обе этих возможности, т. е. блокирование доступа к рабочему столу или устройству сопровождается шифрованием файлов на нем. При этом код вредоносной программы будет использовать специальные механизмы для запрещения закрытия появившегося окна. Примером такой вредоносной программы является вымогатель Android/Simplocker.

В октябре мы зафиксировали новый тип такого вредоносного ПО как вымогатель. Вредоносная программа Win32/Virlock могла блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы, а также заражать исполняемый файлы как полиморфный вирус, встраивая в них свой код. Недавно мы обнаружили несколько новых модификаций этого вируса, что указывает на его активное развитие со стороны злоумышленников. Код VirLock демонстрирует высокий уровень технической подготовки авторов этой вредоносной программы.

Win32/Virlock использует особый прием для шифрования файлов. Вместо обычного метода побайтового шифрования всего файла или его начала, такой файл преобразуется в исполняемый и к нему дописывается код Virlock. Вредоносная программа специализируется на компрометации следующих типов файлов: *.exe, *.doc, *.xls, *.zip, *.rar, *.pdf, *.ppt, *.mdb, *.mp3, *.mpg, *.png, *.gif, *.bmp, *.p12, *.cer, *.psd, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.wma, *.jpg, *.jpeg. При этом Virlock способен заражать файлы на сетевых дисках и съемных носителях.

При заражении (шифровании) файла, который не является исполняемым, Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным расширением .exe к имени. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.

Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %userprofile%, а второй в %alluserprofile%. Для обеспечения автозагрузки, вредоносная программа прописывает путь к своему файлу в соответствующем разделе реестра Run обоих разделов HKLM и HKCU. Мы также наблюдали модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.

Часть кода вымогателя ответственна за отображение пользователю экрана блокировки, при этом используя уже ставшие типичными методы самозащиты, в том числе завершение процессов проводника и диспетчера задач.


Рис. Экран блокировки одной из модификаций вредоносной программы.

Сообщение в окне блокировки содержит текст предупреждения для пользователя и предлагает оплатить сумму выкупа в биткоинах. Недавно мы писали про другой вымогатель TorrentLocker, который также вымогает у пользователя денежные средства в этой криптовалюте. Ниже представлен экран блокировки более новой версии Virlock, он позволяет пользователю использовать приложения веб-браузер и блокнот.


Рис. Другой вид экрана блокировки. Отображается вкладка оплаты.


Рис. Вкладка с информацией о работе с биткоинами в случае с Канадой.

Код вредоносной программы, который отвечает за вывод экрана блокировки, способен выполнять некоторую локализацию интерфейса самого экрана (окна). Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk, google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.

С технической точки зрения наиболее интересной частью вредоносной программы является механизм заражения файлов и полиморфизм. Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла.

Исполняемый файл Virlock включает в себя специальный код, который мы называем XOR stub builder. Он располагается в файле в не зашифрованном состоянии. Остальные данные вредоносной программы и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде.

Упоминаемый XOR stub builder состоит из восьми блоков кода и используется для генерации инструкций типа XOR, которые будут использоваться для расшифровки данных файла. Один из таких блоков изображен ниже на рисунке.


Рис. Блок кода XOR stub builder.

Блоки кода XOR stub builder являются полиморфными, т. е. различаются от одного зараженного файла к другому. В любом случае, исполнение каждого из них приводит к вычислению определенного двойного слова (DWORD) и его записи по фиксированному смещению в памяти. Эти слова представляют из себя инструкции XOR stub, т. е. заглушки с инструкциями XOR, которые расшифровывают остальную часть файла.

Мы говорили про многоуровневый подход, который Virlock использует при шифровании файла. В такой схеме, XOR заглушка используется для расшифровки небольшого участка кода исполняемого файла (Часть 1). Такой код состоит из нескольких функций. На скриншоте ниже приведен фрагмент кода XOR заглушки. Для расшифровки использовался ключ 0x6B130E06, причем размер расшифровываемой части равен 0x45c.


Рис. Код XOR заглушки. Далее управление передается на расшифрованный блок кода размером 0x45C байт.

Интересной особенностью Virlock является строение его расшифрованного кода (Часть 2). Почти каждая функция в нем зашифрована еще раз и начинается с заглушки, которая расшифровывает код самой функцию. Это существенно осложняет анализ вредоносной программы, поскольку код функций нельзя проанализировать в дизассемблере. Код заглушки достаточно прост и использует алгоритм XOR для расшифровки тела функции. После исполнения функции, ее код в памяти зашифровывается обратно, при этом шифрование производится с использованием нового ключа. Ниже на рисунке показан пример такого кода. Инструкция rdtsc используется для получения ключа шифрования, далее операция XOR применяется для шифрования нескольких переменных и тела функции.


Рис. Код шифрования тела функции после ее исполнения.

Такую особенность вредоносной программы можно назвать полиморфизмом периода исполнения (run-time polymorphism). При запуске нескольких ее копий, дампы памяти исполняемого файла будут различаться.

При расшифровке Части 2, код вредоносной программы также прибегает к применению еще одной процедуры расшифровки. Как мы упоминали, Часть 1, которая расшифрована с использованием XOR stub, расшифровывает остальную часть файла вредоносной программы и содержимое зараженного файла, в случае его присутствия. Процедура расшифровки состоит в применении операции циклического сдвига вправо ROR. Используемый ключ расшифровки жестко зашит в теле вредоносной программы.

Таким образом, Virlock использует трехуровневую схему шифрования:

  • Первая часть (Часть 1) кода вредоносной программы расшифровывается кодом XOR stub, который в свою очередь формируется с помощью XOR stub builder.
  • Вторая часть (Часть 2) кода вредоносной программы расшифровывается с помощью первой части (Часть 1).
  • Каждая функция кода второй части (Часть 2) зашифрована и расшифровывается своей собственной заглушкой, которая расположена в самом начале функции. После исполнения функции, ее код в памяти зашифровывается обратно.

Virlock содержит код, который реализует файловый полиморфизм (заражение файлов) во второй части. Когда управление получает соответствующая функция, она копирует тело вредоносной программы в выделенный участок памяти. Таким образом, файловый полиморфизм является следствием полиморфизма в памяти (run-time), поскольку скопированное в участок памяти тело вредоносной программы уже подверглось модификации со стороны алгоритмов шифрования и модификации кода (со стороны функций второй части, которые исполнились перед кодом инфектора). Далее этот код подвергается повторному шифрованию, в соответствии с уровнями описанными выше. Скопированный код представляет из себя так называемую вторую часть, которая вместе с содержимым заражаемого файла подвергается шифрованию с использованием новых ключей. После этого в памяти формируется блок функций XOR stub builder, он будет ответственен за расшифровку первой части.

Выполнив все указанные шаги, Virlock записывает сформированный файл, который содержит зашифрованное тело вируса и оригинальные данные файла на диск. Для этого оригинальный файл, который подвергся заражению, перезаписывается. В случае, если зараженный файл не являлся исполняемым PE-файлом, к его имени и существующему расширению дописывается новое расширение .exe.

Заключение

Наша система телеметрии LiveGrid показывает, что заражению Virlock подверглось небольшое количество пользователей. Их количество не сравнимо с количеством пользователей, которые подверглись заражению TorrentLocker или других подобных ему вымогателей. Тем не менее, анализ транзакций, проведённых по указанному счету Bitcoin, показывает, что некоторые жертвы уже оплатили выкуп злоумышленникам.
Автор: @esetnod32
ESET NOD32
рейтинг 249,66

Комментарии (37)

  • +19
    Где скачать?
  • –1
    Насколько я понимаю, сейчас пользователи практически не делятся исполняемыми файлами. То есть, подобные локеры угрозы не представляют, и вообще странно, как они выживают. Я не прав?
    • +9
      Пользователи такие файлы качают сами из интернета с сайтов «скачать бесплатно без смс» и любезно (опять же сами) отключают антивирусы перед запуском.
      • +15
        Прекращайте жить в плену иллюзий. Давно уже не нужно ничего запускать. Нужно просто зайти на сайт и все. Целей кроме собственно браузеров хватает с избытком — Active-x, Flash, Adobe reader, Java и т.д. В последнее время очень популярен невообразимо дырявый Ace player. Единственное что действительно может спасти простых оконных чайников, так это политики ограниченного использования программ с полным запретом выполнения файлов из папок с правами за запись.
      • –3
        Я всем знакомым домой ставлю Linux. Он у них живет, в плену иллюзий практически десятилетиями, что можно все и никто мне не морочит мне голову. что можно или нельзя открыть, все кодеки поют и играют фильмы, а максимум пользователь может только удалить свои личные файлы. Пароль помню только я. Они сразу теряют с ним бумажку или его забывают.

        А так, создали проблему на ровном месте. Моей программой по составлению расписаний в вузах многие пользуются, исходники потеряны под XP в 2001. Почта их не отправляет, выкладка на сайт не помогает, google и yandex диск не принимает, только через dropbox пока получается.

        Резюме. Если не можем решить основную проблему, то давайте искать пуговицу от пиджака и при этом желающих помочь (особенно за деньги) будет великое множество.
        • +8
          Тестируете рандомный генератор комментариев для хабра?
          • –4
            Прежде, чем бред нести, зайдите в мой профиль и почитайте мои комментарии.
            Я не ленивый и в Ваш зашел, их у Вас в 7 раз больше и типичный флуд.
            • +1
              Ясно, клиника.
              • –2
                Ваша шутка юмора мне не совсем понятна.
                Как, там, в преферансе, молокосос он и в Африке молокосос.
                Вдобавок, как в Африке, все время без света!
                • 0
                  Поток вашего сознания ясен лишь вам. К сожалению, или к счастью, другие вас не понимают.

                  ПС. Без света?
                  • –1
                    PS. Я рад, что «другие» меня не понимают и я думаю для меня это счастье. Просто, когда человек (homo sapiens) думает он потребляет от 20% до 50% всей энергии тела 2% от массы тела. Если у Вас затылок не потеет, Вам повезло!
                    PS1. Свет это энергия!
                    PS2. Я не знаю, что такое «ПС», расшифруйте пожалуйста!
                    • 0
                      Оставлю вас поговорить с самим собой, у вас отлично это получается.
                      • –2
                        Вы ответили стереотипом, свои то мысли присутствуют?
                        Я лично никого, и себя в частности не повторяю.
                        Пусть плохо, русский не родной, но зато моЁ.

                        Вашим друзьям привет!
  • +1
    Можно ли после заражения восстановить зашифрованные файлы, не платя выкуп? Простите, если пропустил.
    • 0
      Скорее всего нет, и что примечательно, даже заплатив выкуп, нет никаких гарантий что вы расшифруете файлы.
  • +1
    Интересная статья. Вообще вирусы-щифровальщики фактически стали основателями нового класса вредоносных программ, последствия работы которых не устраняются каким либо тривиальным алгоритмом, и жить от этого, если честно, стало немного страшнее. С момента появления зловреда до момента написания подобной статьи проходит какое то время, и за это время вирус может заразить не одну сотню компьютеров и зашифровать десятки тысяч файлов., расшифровать которые будет невозможно до появления расшифровщика у одной из антивирусных компаний. Однако во первых зачастую вирус имеет несколько сотен модификаций, под каждую из которых требуется свой расшифровщик, во вторых часто для того чтобы его работа привела к какому либо положительному результату в адекватные сроки, требуются большие вычислительные мощности, которые не всегда доступны обычному пользователю.
    • –3
      И? Чем страшнее стало жить? Переходим на Linux (если уже не перешли), там вирусов нет. Но, конечно, если вдруг все перейдут на Linux, он станет популярнее, и вирусы там появятся?
      Не беда. Ставим SELinux / AppArmor для защиты. SELinux — разработка NSA, которой мы не доверяем?
      Опять же не беда, ставим Xen, и десяток виртуалок для работы. В одной браузер, который сможет заразить только одну виртуалку. Заразил — сносим, и с нуля. Даже CubesOS в этом направлении развивается.

      Пользователь не сможет всего этого понять? Ну так а наши в чем проблемы? Если это направление разовьется, и вымогатели будут появляться раз в день, куда они денутся?
      • –1
        Да даже обычная программа под Linux мониторящая критичные файлы — уже на 99% защитит от вирусов.

        Хотя может быть все пойдет и по-другому. Юзеры взмолятся в итоге «защити нас святой Касперский-заступник», и явится Доктор Вебер юродивый… и отобьет атаки хакерские, и пересадит всех в облака от Гугля и Майкрософта, где думать ни о чем не надо, а прошивку хромОСа можно сбрасывать хоть раз в день.
        • 0
          Такие комментарии дискретитируют нормальных пользователей линуксов. Особенно понравилось «обычная программа под Linux мониторящая критичные файлы» (такое, кстати, есть и под Windows, вы не поверите) и «и пересадит всех в облака от Гугля и Майкрософта». Чем вас облака спасут? Попейте воды, почитайте как работает вирус и как работает синхронизация в этих облаках (а заодно и что такое «синхронизация»). Что такое хромос я не знаю — видимо телефон какой-то. Нет, погодите — может быть это операционная система, которая стоит в преобладающем большинстве коммерческих и домашних компьютерах? Нет? Значит все таки телефон…
      • +2
        Как только появится необходимость что-то «скачать с помойки» и «запустить» — появляется почти непреодолимая угроза, основанная на социнженерии, и никакая операционная система здесь уже не панацея.

        Почему?
        Здесь пользователя спасет только здравый рассудок и осторожность. Можно сделать, скажем, сайт «флеш-плеер для бубунты скачать бесплатно даже денег дадим работает 100% на все браузеры сразу» — и куча неопытного народа, пересевшего на линуксы, скачает и запустит. Эта неопытная масса даст бит выполняемости если нужно, даст рута если софтина попросит. Если даже и не попросит, то рекурсивно может зашифровать файлы по маске в /media и /home.
        Это произойдет так же как и в виндах — «хочу чтобы было, но не хочу думать что при этом творю».
        Вот как к примеру зараза на устройства с Android обычно попадает? А очень просто — снятая галочка на запрет установки софта не из магазина, а в google play бездумная установка всякой ереси подряд без учета требований доступа. Большое количество людей без задней мысли инсталлируют любой «блокнот» с разрешением на управление приложениями и доступом к контактам и СМС.

        Отступление для blueboar2
        Вы имеете хотя бы год опыта поддержки линукса у людей, которых лично Вы взяли «под своё крыло»? Какие выводы можете сделать, если он есть? Как бы то ни было, моя практика показывает, что нельзя просто взять и массово пересадить любого пользователя на Linux. Поначалу я тоже был «сектантом» и с пеной у рта внушал налево и направо, что эта система для домашнего юзера лучше, однако со временем убедился что это имеет практический смысл лишь в трех случаях:

        — когда юзер сам желает разобраться в этой системе и просит помощи
        — когда юзер наоборот настолько «гениален», что несмотря ни на какие защиты отключает всё вплоть до групповых политик, находя методы в интернетах — и всё-таки запускает винлокер с якобы «песня.mp3.exe». Чаще всего это дети. Тогда никакого рута не давать — и родители за компьютером хотя бы работать могут, не получая иногда сломанный офисный пакет, отвалившиеся ctrl/shift/alt из-за так называемых «читов» переданных через скайп сверстниками ребенка, или зашифрованные/зараженные документы.
        — когда юзер сидит в контролируемом тобой офисе и все задачи, не касающиеся «понажимать кнопочки», лежат на тебе

        Остальным пользователям Linux противопоказан, или крайне не рекомендован. Может есть еще какие-то категории, но стоит ли упоминать массовую миграцию в linux на Хабре в посте про Windows-угрозу?
        • 0
          Ну а вы какой вариант предлагаете? Вот выходят такие вирусы массово, заражают компьютеры, Дядя Вася, админ, который раньше все за 5 минут разблокировал, говорит «Увы, все зашифровано, помочь не могу». И что делать? Вы же сами говорите, они сами отключат всю защиту, а потом будут жаловаться.
          • +2
            Я говорю про то, что миграция на Linux никак не спасет ситуацию, только и всего. Утверждение, что «на Linux вирусов нет» означает ровно то, что основная масса пользователей не ставит вареза, имеет опыт и самосознание при взаимодействии с системой, и отсюда попытки распространения заразы сходят на нет.

            Но шифровальщик можно отнести к вирусу, хоть и не самораспространяющемуся. Тот факт, что все массово пересядут на Linux, будет означать, что распространение вирусов среди Linux-пользователей станет возможно. Хотя эта беда и не испортит жизнь опытным пользователям (как она не особо докучает и под Windows) — рядовой юзер страдать будет не меньше.

            Вариантов новых не могу предложить, кроме того, чтобы отучать юзеров качать варез любыми средствами, т. к. это основной источник заразы. Это не спасет при RCE, да и в принципе невозможно — но это единственное видимое мной решение. И оно неосуществимо.
          • 0
            Помимо дядя Васи, есть дядя Коля, который знает что такое групповые политики и как там зарубить запуск приложений из %userprofile%. И не надо делать из линукса священную корову — кто знает сколько линуксовых хостов работает на благо ботнетов? Всякого рода локеры не появляются на линуксах не потому что он защищен, а только потому что машин под ним гораздо меньше. Вон, пролетал недавно пост с открытыми vnc. Сколько там было линукс машин?
    • +1
      А от возможности выхода из строя накопителя вам жить не страшно было?
      Бэкапы ж решают эти проблемы.

      до момента написания подобной статьи проходит

      А статья чем поможет? В ней нет никакого лекарства.
  • +2
    Тема не раскрыта — что в результате, все эти титанические усилия ради полиморфизма что-то дали в плане усложнения надёжного детекта этой гадости антивирусом или просто развлекли ваших аналитиков?
    • 0
      Я думаю, ни один разработчик антивирусов не станет писать, как усложнить ему жизнь.
  • +1
    А может это такой способ популяризации BitCoin среди населения? (шутка!)

    Эх помню, был эникейщиком (6 лет работал, 1 год назад «зявязал»), так эти WinLock`еры за двадцать минут снимал. Деньги зарабатывали не хакеры, которые их писали, а Я. Правда с шифровальщиками не сталкивался, наверное «блымал» бы глазами перед клиентом в случае такой проблемы. Если что-то не получалось, то ОС переустанавливалась с предварительным сохранением через LiveCD (LiveUSB) всех пользовательских данных.

    А вообще, сам антивирусами не пользуюсь уже лет пять. Просто надо думать что запускаешь, откуда скачиваешь, в случае сомнений весьма помогал VirusTotal. Всегда удивляло, где люди берут эти вирусы.
    • +1
      Было дело, что ловил WinLocker просто зайдя на сайт (браузер Opera 12, Win 7, антивируска была включена (ESS, кстати), базы актуальные). Не знаю через какую дырку он пролез, но никакие файлы естественно не скачивались, и тем более не запускались, просто открыл страничку. Правда убрать WinLocker (BootLocker) очень легко, а вот вирусы с шифрованием файлов уже доставят много неприятностей.
      • 0
        Думаю здесь есть много людей, кто своими глазами наблюдал эксплуатацию уязвимостей типа RCE.
        Запущенный таким образом софт не обязательно винлокер, помнится товарищ на личном ноутбуке с XP словил вебальту прямо на моих глазах, открыв один из сайтов ycoz-а в попытках найти какую-то мелочь (автозагрузка .exe и сразу же запуск с установкой без вопросов, тоже Opera 12).
      • 0
        А самое забавное, что имея белый IP адрес на машине, подобным образом заразу можно подцепить вообще никуда не заходя. И даже Linux в данном случае не поможет. Один раз наблюдал, как не обновлённый демон FTP сервера стал причиной превращения довольно большого количества серверов в ботнет. Нападавшие оказались жителями Румынии, с ними даже удалось немного пообщаться по скайпу.

        И да, когда на планете закончились свободные IPv4 адреса, провайдер домашнего интернета, услугами которого я пользуюсь, раздаёт каждому клиентскому устройству по белом IPv4 адресу, без каких либо ограничений на их количество для одного клиента. И стоит только появиться адресу в онлайне, как тут же на него обрушивается сразу несколько сканирований портов, а на открытые порты потом приходит большое количество всяких непонятных байт.
        • 0
          Вы же не вставляете кабель провайдера напрямую в компьютер или ноутбук, получая тем самым открытый (внешний) IP? Если бы это было так, то опасность бы присутствовала, но большинство «домашних» пользователей подключены через роутер, в котором файервол, настроенный по-умолчанию, дропает все внешние незапрошенные подключения.

          Неимоверную глупость наблюдал, когда на машины, находящиеся в локальной дружественной сети, ставят фаерволы или антивирусы с такой дополнительной функцией.
          • 0
            Кабель провайдер вставлен напрямую в wifi роутер, который просто напрямую раздаёт его домашним устройствам. На роутере не настроено ни какого фаервола. Каждое устройство, будь то компьютер, ноутбук, телефон или какая-нибудь малина, получают белый IP адрес и прямой доступ к ним из интернета. Так веселее жить.
          • +1
            Давайте рассмотрим такой сценарий.

            Есть ноут. Дома он подключается по LAN или по WiFi к домашнему маршрутизатору. На маршрутизаторе уже есть фаервол. Нужен ли он на ноуте? Согласно вашему комментарию — это неимоверная глупость.
            Но этот же ноут может оказаться в кафе, где неизвестно кто и как настроено. Кроме того, в этой же сети (в том же кафе) может находиться не очень дружественный нам человек. Но иметь фаервол это же глупость. У нас его нет и мы оказывается полностью открытыми для не очень дружественных нам людей.

            Т.е. мы не можем заранее знать в какой сети окажемся. В дружественной нам или нет. Поэтому фаерволы нужны не только на маршрутизаторах, но и на компах.
            • 0
              Даже если рассмотреть вариантов стационарно установленных машин в одной локальной сети, например сервера одной организации, то многие действительно ограничиваются одним внешним фаерволом. Но какая-нибудь незначительная уязвимость позволяет злоумышленнику поникнуть внутрь локальной сети, откуда он уже получает практически неограниченный доступ к серверам компании, а всё лишь потому, что ответственный за локальную сеть человек считал её доверенной зоной, и не считал нужным использовать шифрование трафика между серверами, применение авторизации на внутренних ресурсах, изменение стандартных паролей для доступа к панелям управления различными сетевыми железками, ИБП, и т.д.

              В одной компании довелось увидеть более-менее правильное решение проблемы, в котором полный доступ к серверам имела строго ограниченная подсеть административных адресов, которые даже на рабочих местах поднимали VPN туннель. А трафик между серверами по умолчанию запрещался, разрешён был доступ только до определённых портов и зачастую только с конкретных IP адресов. Но учитывая то, что отсутствовала какая-либо централизованная система учёта\мониторинга правила фаерволов, которые были настроены на каждом конкретном сервере ответственным за данную группу серверов лицом, то чьё-нибудь другое лицо могло всё испортить, и не вдаваясь в подробности открыть доступ ко всем портам на своих серверах, и так до следующего инцидента.
  • 0
    … а на полученные от вымогательства деньги он тратит на покупку VPS инстансов в Digital Ocean, для размещения себя в интернете.
    • 0
      Ну а еще трафика докупает на связку, надо же размножаться.
  • 0
    При заражении (шифровании) файла, который не является исполняемым, Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным расширением .exe к имени. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.


    Зачем он записывает оригинальный файл в текущую директорию? Что происходит дальше с этим файлом?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное