Вымогатель Matrix распространяется через вредоносные ярлыки






Исчезнувший на некоторое время вымогатель Matrix вернулся и распространяется через вредоносные ярлыки, сообщает 13 апреля Threatpost.

Новый Matrix умеет заражать другие компьютеры, пробираясь с машины на машину при помощи вредоносных ярлыков, а также загружать на сервер атаки информацию о типах зашифрованных им файлов.

Зловред распространяется через скомпрометированные сайты, зараженные скриптом EITest. Как только на компьютер загружается iframe RIG, эксплойт-пак пытается провести эксплуатацию уязвимых программ и установить Matrix.

Чтобы распространиться на другие компьютеры сети, Matrix во время шифрования файлов скрывает папку и создает ярлык с тем же именем, а затем копирует исполняемый файл вымогателя и сохраняет его как desktop.ini в изначальной, уже скрытой папке.

Например, зловред может скрыть папку «Документы» и создать соответствующий ярлык. Пользователь открывает его и сохраняет в нем какие-либо файлы, ничего не подозревая, так как все будто бы работает как обычно. Тем временем Matrix копирует файл desktop.ini, который на самом деле является исполняемым файлом вымогателя, в %Temp%\OSw4Ptym.exe, а затем исполняет его. Таким образом зловред может проникать в другие компьютеры через сетевые и съемные накопители.

Matrix регулярно обновляется и каждая новая версия имеет отличия в характеристиках, будь то расширения шифруемых файлов, контактные email-адреса или тексты записок с требованием выкупа. Эксперты предполагают, что Matrix будет меняться и дальше.

Matrix очень часто обращается к командному серверу, сообщая о ходе процесса шифрования. Зловред загружает статистику по типам шифруемых файлов на сервер, как это делает Spora, и имеет различные требования относительно размеров выкупа в соответствии с типами зашифрованных файлов.

Кроме того, Matrix удаляет Shadow Volume Copies (теневая копия — служба Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, в том числе системные и заблокированные файлы), чтобы исключить возможность отката изменений и восстановления состояния системы до заражения.

В тексте сообщения, которое демонстрирует Matrix на экране по окончании шифрования, злоумышленники угрожают, что каждые 12 часов из отпущенного на оплату срока размер выкупа будет увеличиваться на $100. Жертве дают 96 часов, после чего угрожают удалить файлы навсегда.
Автор: Softodrom.ru
Дата: 13.04.2017


» Оставьте первым свой комментарий


Новости > Безопасность > Вымогатель Matrix распространяется через вредоносные ярлыки
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
На пользователей торрентов совершено 15 миллионов атак за 1,5 года
Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах»
Как Путин развалил США и выиграл третью мировую войну с помощью кибероружия
Путин знал, что не сможет противостоять США в мире обычного оружия, поэтому он сделал ставку на абсолютно другой метод ведения войны — кибероружие
Хакер обнародовал ключ дешифрования Secure Enclave в iPhone
Secure Enclave обрабатывает данные отпечатка пальца Touch ID, «подписывает» покупки, подтвержденные датчиком, или разблокирует телефон, проверяя отпечаток
Около 9% российских банковских доменов используют неправильные настройки DNS
Проведенное аналитиками «Доктор Веб» исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций
Первым свидетелем по делу о кибератаке на США стал украинский хакер
Это первый случай появления свидетеля в деле о кибератаке на США
Новинки раздела Безопасность
На пользователей торрентов совершено 15 миллионов атак за 1,5 года
Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах»
Microsoft представила Coco Framework для повышения эффективности блокчейна
Существующий сейчас блокчейн-протокол требует сложных технологических разработок, чтобы обеспечить операционные потребности бизнеса и соответствовать нормам безопасности
Хакер обнародовал ключ дешифрования Secure Enclave в iPhone
Secure Enclave обрабатывает данные отпечатка пальца Touch ID, «подписывает» покупки, подтвержденные датчиком, или разблокирует телефон, проверяя отпечаток
ФСБ участвует в разработке международного стандарта блокчейна
В созданный Международной организацией по стандартизации (ISO) специальный комитет для разработки стандарта технологии блокчейн вошли несколько представителей от России
Как Путин развалил США и выиграл третью мировую войну с помощью кибероружия
Путин знал, что не сможет противостоять США в мире обычного оружия, поэтому он сделал ставку на абсолютно другой метод ведения войны — кибероружие
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».