`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Avast помог обезвредить вредонос Retadup на 850 тыс. ПК

0 
 

Компания Avast в сотрудничестве с центром борьбы с киберпреступностью Французской национальной жандармерии, уничтожила вредоносную программу-червя Retadup, которая заразила сотни тысяч ПК с операционной системой Windows в Латинской Америке. Retadup распространяют злоумышленники, специализирующиеся на криптовалюте. Иногда для этого они используют программы Stop Ransomware и Arkei.

На сегодня благодаря сотрудничеству было нейтрализовано 850 тыс. случаев заражений Retadup, а сервер, с которого злоумышленники управляли зараженными устройствами, (C&C) был заменен на дезинфицирующий сервер, который спровоцировал самоуничтожение вредоносного ПО.

Специалисты Avast Threat Intelligence обнаружили, что Retadup в основном распространяется, перенося вредоносные ярлыки на подключенные диски в надежде, что люди поделятся вредоносными файлами с другими пользователями. Ярлык создается под тем же именем, что и уже существующая папка, но с добавлением текста, например, такого как «Копировать fpl.lnk». Таким образом, Retadup заставляет пользователей думать, что они открывают свои собственные файлы, когда в действительности они заражают себя вредоносным ПО. При открытии на компьютере ярлык запускает вредоносный скрипт Retadup.

Анализируя Retadup, команда Avast Threat Intelligence выявила уязвимость протокола C&C. Используя эту уязвимость, специалисты удалили вредоносное ПО с компьютеров жертв. Инфраструктура Retadup была в основном расположена во Франции, поэтому команда Avast связалась с центром борьбы с киберпреступностью Французской национальной жандармерии в конце марта 2018 г., чтобы поделиться своими выводами. 2 июля 2019 г. сотрудники центра заменили вредоносный сервер C&C на другой – сервер дезинфекции. В самый первый момент работы нового сервера к нему подключилось несколько тысяч ботов для получения команд. Сервер дезинфекции смог вылечить их, используя уязвимость C&C. Благодаря этому все пользователи автоматически были защищены от Retadup.

Некоторые части инфраструктуры C&C были расположены в США. Французская жандармерия предупредила ФБР, которое затем их уничтожило. С 8 июля 2019 г. киберпреступники больше не имели никакого контроля над зараженными ботами. Ни один из ботов не получал никаких новых заданий для майнинга после удаления сервера: они не использовали вычислительные мощности своих жертв, и злоумышленники не получали никакой прибыли.

Компьютеры, зараженные Retadup, отправляли довольно много информации о зараженных устройствах на сервер C&C. Жандармерия предоставила группе Avast доступ к снимку файловой системы сервера, чтобы получить некоторую агрегированную информацию о жертвах Retadup.

«Наиболее интересной информацией стало точное количество зараженных устройств и их географическое распределение. На сегодня в общей сложности 850 тыс. уникальных случаев заражения Retadup нейтрализованы. Подавляющее большинство из них находилось в Латинской Америке, – сказал Ян Войтешек, реверс-инженер Avast. – У более чем 85% жертв Retadup не было установлено стороннее антивирусное ПО. Некоторые просто отключили его, что сделало их абсолютно уязвимыми для червя и позволило невольно распространять инфекцию дальше».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT