Конечно это уже не новость.И пик массовых заражений упал,но а вдруг вам на почту придёт такое письмецо
И вы радостный такому вниманию мелкософтов (ведь письмо пришло с update@microsoft.com) качаете скорее архив с инсталлом обновы.
Запускаете в предвкушении увидеть халявную десяточку..и вдруг видите
Ёкарный бабай..
Вот это обнова 
Не буду разводить нудистику про внимательность,обновлённые аверские базы и прочее.Одним словом:
В архиве само обновление (качаем и обновляемся).Пасс:111
Видеоинструкция по обновлению:
https://cisco.app.box.com/s/adatcdtfut1c3tz25sszbztpohezx142
И вы радостный такому вниманию мелкософтов (ведь письмо пришло с update@microsoft.com) качаете скорее архив с инсталлом обновы.
Запускаете в предвкушении увидеть халявную десяточку..и вдруг видите
Ёкарный бабай..
Вот это обнова Не буду разводить нудистику про внимательность,обновлённые аверские базы и прочее.Одним словом:
В архиве само обновление (качаем и обновляемся).Пасс:111
Видеоинструкция по обновлению:
https://cisco.app.box.com/s/adatcdtfut1c3tz25sszbztpohezx142
29 июля корпорация Microsoft выпустила операционную систему Windows 10, которая распространяется в том числе в виде бесплатного обновления для пользователей предыдущих версий ОС — Windows 7 и Windows 8. Киберпреступники не замедлили воспользоваться этим событием в своих целях. В попытке обмануть пользователей и установить на их компьютеры программу-вымогатель они маскируют упомянутую спам-атаку под почтовую рассылку от корпорации Microsoft. А то обстоятельство, что пользователям приходится ждать обновления до Windows 10 в очереди, лишь увеличивает вероятность успешной реализации данной атаки.
Почтовое сообщение
Воспроизведенное выше почтовое сообщение — пример писем, получаемых потенциальными жертвами упомянутой спам-атаки. Оно имеет ряд важных признаков.
Во-первых, адрес отправителя: злоумышленники подделывают письмо таким образом, чтобы оно выглядело так, будто отправлено из корпорации Microsoft (update<at>microsoft.com). Столь нехитрым приемом киберпреступники расссчитывают заинтересовать получателей и побудить их продолжить чтение. Вместе с тем, если внимательно изучить заголовок письма, то можно увидеть, что на самом деле оно отправлено с таиландского сегмента IP-адресов.
Во-вторых, атакующие используют цветовую схему, аналогичную той, которую использует корпорация Microsoft.
В-третьих, в тексте письма есть настораживающие детали вроде неестественных символов. Это может быть связано с тем, что нестандартный набор символов используют либо злоумышленники, либо их целевая аудитория.
Наконец, имеется еще пара любопытных методов, применяемых киберпреступниками, чтобы сделать письмо более правдоподобным. Первый заключается в том, что письмо включает в себя правовую оговорку, аналогичную той, что содержится в письмах, действительно отправляемых корпорацией Microsoft. Кроме того, злоумышленники включают в письмо еще одну важную деталь, которую пользователи привыкли видеть в подобной переписке: сообщение о том, что письмо проверено антивирусом и не содержит в себе вредоносного кода. Данное сообщение содержит ссылку на популярный почтовый фильтр с открытым исходным кодом, что тоже может ввести в заблуждение кое-кого из пользователей.
Вредоносная нагрузка
После того, как пользователь прочитал письмо, загрузил содержащийся в нем архив, распаковал его и запустил содержимое, появляется сообщение, аналогичное этому:
Вредоносный код, содержащийся в письме — это CTB-Locker, одна из разновидностей программ-вымогателей. Подразделение Talos отмечает высокую интенсивность заражения подобным вредоносным ПО. Злоумышленники используют спам-атаки и эксплойт-наборы для того, чтобы распространять в Интернете множество самых разнообразных программ-вымогателей. При этом их назначение одинаково: с помощью ассиметричного шифрования заблокировать файлы пользователя таким образом, чтобы необходимый для расшифровки открытый ключ на зараженной системе отсутствовал. Кроме того, при помощи технологий Tor и Bitcoin злоумышленники получают возможность сохранять инкогнито и быстро и без лишнего риска получать денежные средства, поступающие в результате киберпреступлений.
Программа CTB-Locker имеет ряд интересных особенностей, выделяющих ее из основной массы программ-вымогателей, зафиксированных подразделением Talos. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA, CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.
Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. (Это гораздо меньше того, что дает большинство других программ-вымогателей).
Еще одна особенность CTB-Locker заключается в механизме взаимодействия с центром управления и контроля. Последние версии программ-вымогателей для обмена информацией с центром используют зараженные сайты, построенные на технологии Wordpress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.
Имеется еще несколько интересных аспектов, связанных с сетевыми коммуникациями CTB-Locker. Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных. Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.
Наконец, еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21. Этот порт ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее быстрый анализ данных, передаваемых CTB-Locker по данному порту, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.
ИК (индикаторы компрометации)
Тема
сообщения: Windows 10 Free Upgrade
Вложение: Win10Installer.zip (Win10Installer.exe)
SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (zip)
aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (исполняемый)
Сеть
Домен
rmxlqabmvfnw4wp4.onion.gq
IP-адрес
Полезная информация об IP-адресах недоступна, поскольку для взаимодействия с центром управления и контроля используется технология Tor.
Почтовое сообщение
Воспроизведенное выше почтовое сообщение — пример писем, получаемых потенциальными жертвами упомянутой спам-атаки. Оно имеет ряд важных признаков.
Во-первых, адрес отправителя: злоумышленники подделывают письмо таким образом, чтобы оно выглядело так, будто отправлено из корпорации Microsoft (update<at>microsoft.com). Столь нехитрым приемом киберпреступники расссчитывают заинтересовать получателей и побудить их продолжить чтение. Вместе с тем, если внимательно изучить заголовок письма, то можно увидеть, что на самом деле оно отправлено с таиландского сегмента IP-адресов.
Во-вторых, атакующие используют цветовую схему, аналогичную той, которую использует корпорация Microsoft.
В-третьих, в тексте письма есть настораживающие детали вроде неестественных символов. Это может быть связано с тем, что нестандартный набор символов используют либо злоумышленники, либо их целевая аудитория.
Наконец, имеется еще пара любопытных методов, применяемых киберпреступниками, чтобы сделать письмо более правдоподобным. Первый заключается в том, что письмо включает в себя правовую оговорку, аналогичную той, что содержится в письмах, действительно отправляемых корпорацией Microsoft. Кроме того, злоумышленники включают в письмо еще одну важную деталь, которую пользователи привыкли видеть в подобной переписке: сообщение о том, что письмо проверено антивирусом и не содержит в себе вредоносного кода. Данное сообщение содержит ссылку на популярный почтовый фильтр с открытым исходным кодом, что тоже может ввести в заблуждение кое-кого из пользователей.
Вредоносная нагрузка
После того, как пользователь прочитал письмо, загрузил содержащийся в нем архив, распаковал его и запустил содержимое, появляется сообщение, аналогичное этому:
Вредоносный код, содержащийся в письме — это CTB-Locker, одна из разновидностей программ-вымогателей. Подразделение Talos отмечает высокую интенсивность заражения подобным вредоносным ПО. Злоумышленники используют спам-атаки и эксплойт-наборы для того, чтобы распространять в Интернете множество самых разнообразных программ-вымогателей. При этом их назначение одинаково: с помощью ассиметричного шифрования заблокировать файлы пользователя таким образом, чтобы необходимый для расшифровки открытый ключ на зараженной системе отсутствовал. Кроме того, при помощи технологий Tor и Bitcoin злоумышленники получают возможность сохранять инкогнито и быстро и без лишнего риска получать денежные средства, поступающие в результате киберпреступлений.
Программа CTB-Locker имеет ряд интересных особенностей, выделяющих ее из основной массы программ-вымогателей, зафиксированных подразделением Talos. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA, CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.
Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. (Это гораздо меньше того, что дает большинство других программ-вымогателей).
Еще одна особенность CTB-Locker заключается в механизме взаимодействия с центром управления и контроля. Последние версии программ-вымогателей для обмена информацией с центром используют зараженные сайты, построенные на технологии Wordpress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.
Имеется еще несколько интересных аспектов, связанных с сетевыми коммуникациями CTB-Locker. Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных. Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.
Наконец, еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21. Этот порт ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее быстрый анализ данных, передаваемых CTB-Locker по данному порту, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.
ИК (индикаторы компрометации)
Тема
сообщения: Windows 10 Free Upgrade
Вложение: Win10Installer.zip (Win10Installer.exe)
SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (zip)
aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (исполняемый)
Сеть
Домен
rmxlqabmvfnw4wp4.onion.gq
IP-адрес
Полезная информация об IP-адресах недоступна, поскольку для взаимодействия с центром управления и контроля используется технология Tor.
