Вымогатель Matrix распространяется через вредоносные ярлыки






Исчезнувший на некоторое время вымогатель Matrix вернулся и распространяется через вредоносные ярлыки, сообщает 13 апреля Threatpost.

Новый Matrix умеет заражать другие компьютеры, пробираясь с машины на машину при помощи вредоносных ярлыков, а также загружать на сервер атаки информацию о типах зашифрованных им файлов.

Зловред распространяется через скомпрометированные сайты, зараженные скриптом EITest. Как только на компьютер загружается iframe RIG, эксплойт-пак пытается провести эксплуатацию уязвимых программ и установить Matrix.

Чтобы распространиться на другие компьютеры сети, Matrix во время шифрования файлов скрывает папку и создает ярлык с тем же именем, а затем копирует исполняемый файл вымогателя и сохраняет его как desktop.ini в изначальной, уже скрытой папке.

Например, зловред может скрыть папку «Документы» и создать соответствующий ярлык. Пользователь открывает его и сохраняет в нем какие-либо файлы, ничего не подозревая, так как все будто бы работает как обычно. Тем временем Matrix копирует файл desktop.ini, который на самом деле является исполняемым файлом вымогателя, в %Temp%\OSw4Ptym.exe, а затем исполняет его. Таким образом зловред может проникать в другие компьютеры через сетевые и съемные накопители.

Matrix регулярно обновляется и каждая новая версия имеет отличия в характеристиках, будь то расширения шифруемых файлов, контактные email-адреса или тексты записок с требованием выкупа. Эксперты предполагают, что Matrix будет меняться и дальше.

Matrix очень часто обращается к командному серверу, сообщая о ходе процесса шифрования. Зловред загружает статистику по типам шифруемых файлов на сервер, как это делает Spora, и имеет различные требования относительно размеров выкупа в соответствии с типами зашифрованных файлов.

Кроме того, Matrix удаляет Shadow Volume Copies (теневая копия — служба Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, в том числе системные и заблокированные файлы), чтобы исключить возможность отката изменений и восстановления состояния системы до заражения.

В тексте сообщения, которое демонстрирует Matrix на экране по окончании шифрования, злоумышленники угрожают, что каждые 12 часов из отпущенного на оплату срока размер выкупа будет увеличиваться на $100. Жертве дают 96 часов, после чего угрожают удалить файлы навсегда.
Автор: Softodrom.ru
Дата: 13.04.2017


» Оставьте первым свой комментарий


Новости > Безопасность > Вымогатель Matrix распространяется через вредоносные ярлыки
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
В список экстремистских материалов впервые включили видео из сообщения мессенджера
Мессенджерам потребовалось 10 лет на признание сообщений в них экстремизмом
Безопасность Telegram назвали маркетингом Дурова
Дуров никогда не открывал исходный код своей криптографии, поэтому нет никаких оснований думать, что Telegram безопасней, чем другие мессенджеры
Программиста Левашова заочно арестовали в России
Обвиняемый в США в хакерстве программист Петр Левашов ранее заявил, что работал на «Единую Россию»
Майнер криптовалюты Coinhive идет навстречу пользователям
Coinhive позволяет монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero
ФСБ России готова обрушить Интернет при определенных условиях
Для этого существуют оперативные подразделения, работающие непосредственно с подконтрольными им хакерами
Новинки раздела Безопасность
В список экстремистских материалов впервые включили видео из сообщения мессенджера
Мессенджерам потребовалось 10 лет на признание сообщений в них экстремизмом
Майнер криптовалюты Coinhive идет навстречу пользователям
Coinhive позволяет монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero
Программиста Левашова заочно арестовали в России
Обвиняемый в США в хакерстве программист Петр Левашов ранее заявил, что работал на «Единую Россию»
Безопасность Telegram назвали маркетингом Дурова
Дуров никогда не открывал исходный код своей криптографии, поэтому нет никаких оснований думать, что Telegram безопасней, чем другие мессенджеры
Русский киберпреступник внедрил майнер Monero в мод для GTA и хвастался в соцсетях
Злоумышленник не особенно старался замести следы и хвастался в социальных сетях своими успехами, благодаря чему специалистам удалось выяснить его имя и место проживания
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».