Novērota Trojas zirga Rakhni spēja izvēlēties būt par izracēju vai šifrētājvīrusu

Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Raksta foto
Foto: PantherMedia/Scanpix

Kaspersky Lab izstrādājumi ir konstatējuši jaunus ļaunprātīgus eksemplārus, kas saistīti ar bēdīgi slaveno Trojas zirgu saimi Trojan-Ransom.Win32.Rakhni. Šīs ļaunprogrammatūras galvenā iezīme ir spēja izvēlēties, kā inficēt upurus, tas ir, būt par šifrētājvīrusu vai izracēju. Pētnieki uzskata, ka šī ļaunprogrammatūra galvenokārt uzbrūk uzņēmumiem, nevis mājas lietotājiem, un pārsvarā tiek izplatīta Krievijā (95,57 %). Tā ir sastopama arī Kazahstānā (1,36 %), Ukrainā (0,57 %), Vācijā (0,49 %) un Indijā (0,41 %). Pēdējā gada laikā vien Trojas zirgi Trojan-Downloader.Win32.Rakhni ir uzbrukuši vairāk nekā astoņiem tūkstošiem lietotāju.

Ļaunprogrammatūras tiek izplatīta ar surogātpasta vēstulēm, kam pievienots dokuments ar ļaunprātīgu izpildāmo datni.

Kad dokuments tiek atvērts, tiek palaista ļaunprātīgā datne. Tieši tad Trojas zirgs izlemj, kurš vērtums ir jālejupielādē upura datorā.

Ļaunprogrammatūra pārbauda, vai pastāv direktorijs «%AppData%\Bitcoin», kas var liecināt par vietējo bitmonētu maku krātuvi. Pēc pētnieku domām, tas liek pieņemt, ka upuri labprāt samaksās par datņu saņemšanu atpakaļ, tāpēc Trojas zirgs šifrē datnes ar šifrētājvīrusu. Tas uzbrucējam garantē drīzu peļņu. Pretējā gadījumā noziedznieki centīsies nopelnīt naudu uz upura rēķina, viņam nezinot palaiduši izracēju ar nosacījumu, ka datora jauda ir pietiekama resursietilpīgu izraces uzdevumu izpildei.

Interesanti, ka Trojas zirgs var arī izlemt pilnīgi ignorēt inficēto datoru un nelejupielādēt ne šifrētājvīrusu, ne izracēju.

Tomēr tas neļauj upurim norauties no āķa, jo tik un tā tiek palaistas tīkla tārpa funkcijas,

Tas ir - Trojas zirgs mēģinās izplatīt kopijas uz visiem upura vietējā tīklā pieejamajiem datoriem.

«Ļaunprogrammatūras spēja izlemt, kuru vērtumu tā lietos upura inficēšanai, ir vēl viens kibernoziedznieku izmantotās pielāgošanās taktikas piemērs. Viņi vienmēr centīsies gūt labumu no upuriem, vai nu tieši izspiežot naudu (ar šifrētājvīrusu), bez atļaujas izmantojot lietotāja resursus savām vajadzībām (ar izracēju) vai izmantojot upuri ļaunprogrammatūras izplatīšanas ķēdē (ar tīkla tārpu),» sacīja Kaspersky Lab ļaunprogrammatūru analītiķis Orhans Mamedovs.

Antivīrusu kompānijas izstrādājumi nosaka aprakstīto ļaunprogrammatūru ar šiem verdiktiem:

Lejupielādētājs: Trojan-Downloader.Win32.Rakhni.pwc

Izracējs: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu

Šifrētājvīruss: Trojan-Ransom.Win32.Rakhni.wbrf

Svarīgākais
Uz augšu