Вымогатель Matrix распространяется через вредоносные ярлыки
Новости Безопасность
Исчезнувший на некоторое время вымогатель Matrix вернулся и распространяется через вредоносные ярлыки, сообщает 13 апреля Threatpost.
Новый Matrix умеет заражать другие компьютеры, пробираясь с машины на машину при помощи вредоносных ярлыков, а также загружать на сервер атаки информацию о типах зашифрованных им файлов.
Зловред распространяется через скомпрометированные сайты, зараженные скриптом EITest. Как только на компьютер загружается iframe RIG, эксплойт-пак пытается провести эксплуатацию уязвимых программ и установить Matrix.
Чтобы распространиться на другие компьютеры сети, Matrix во время шифрования файлов скрывает папку и создает ярлык с тем же именем, а затем копирует исполняемый файл вымогателя и сохраняет его как desktop.ini в изначальной, уже скрытой папке.
Например, зловред может скрыть папку «Документы» и создать соответствующий ярлык. Пользователь открывает его и сохраняет в нем какие-либо файлы, ничего не подозревая, так как все будто бы работает как обычно. Тем временем Matrix копирует файл desktop.ini, который на самом деле является исполняемым файлом вымогателя, в %Temp%\OSw4Ptym.exe, а затем исполняет его. Таким образом зловред может проникать в другие компьютеры через сетевые и съемные накопители.
Matrix регулярно обновляется и каждая новая версия имеет отличия в характеристиках, будь то расширения шифруемых файлов, контактные email-адреса или тексты записок с требованием выкупа. Эксперты предполагают, что Matrix будет меняться и дальше.
Matrix очень часто обращается к командному серверу, сообщая о ходе процесса шифрования. Зловред загружает статистику по типам шифруемых файлов на сервер, как это делает Spora, и имеет различные требования относительно размеров выкупа в соответствии с типами зашифрованных файлов.
Кроме того, Matrix удаляет Shadow Volume Copies (теневая копия — служба Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, в том числе системные и заблокированные файлы), чтобы исключить возможность отката изменений и восстановления состояния системы до заражения.
В тексте сообщения, которое демонстрирует Matrix на экране по окончании шифрования, злоумышленники угрожают, что каждые 12 часов из отпущенного на оплату срока размер выкупа будет увеличиваться на $100. Жертве дают 96 часов, после чего угрожают удалить файлы навсегда.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone
