Виявлена троянська програма-вимагач з унікальним способом поширення

Компанія ESET — лідер у галузі розробки антивірусного програмного забезпечення — повідомляє про високу активність троянської програми Nymaim, яка здійснює завантаження додаткового шкідливого ПЗ, блокує комп'ютер жертви та вимагає гроші за розшифровку даних. За результатами отриманих даних, під час шкідливої кампанії з використанням Win32/Nymaim постраждало вже майже 2,8 мільйона користувачів.

Після ретельного вивчення загрози спеціалісти дослідницької лабораторії ESET дійшли висновку, що Win32/Nymaim інфікує систему у два етапи. Потрапивши на комп'ютер, перший шкідливий файл здійснює приховане завантаження та запуск другого файлу, який, в свою чергу, також може завантажувати додаткове шкідливе ПЗ, а може й просто блокувати операційну систему для отримання викупу. Виявлена загроза поширюється за допомогою шкідливої програми під назвою Darkleech, яка використовує уразливості веб-серверів та перенаправляє користувачів на інфіковані сторінки. Варто також відзначити, що зараження цим шкідливим ПЗ здійснюється за допомогою комплекту зломщиків-експлойтів BlackHole. Згідно з отриманими даними, загроза Darkleech інфікувала багато широко популярних Інтернет-ресурсів, внаслідок чого постраждала велика кількість користувачів.

Крім того, за результатами дослідження веб-сторінок, через які відбувалося зараження системи, для масштабного поширення загрози зловмисники використовували техніки пошукової оптимізації і так званий метод Black Hat SEO, за допомогою яких просували спеціально створені шкідливі сторінки в топ видачі за популярними ключовими словами.

У ході дослідження також було виявлено більше десятка варіантів екрану блокування, створених різними мовами і з різним оформленням. На даний момент виявлено приклади екранів блокування з Австрії, Великобританії, Німеччини, Ірландії, Іспанії, Канади, Мексики, Нідерландів, Норвегії, Румунії, Франції та США. Однак цей список не є остаточним, і жертвами загрози могли стати користувачі з інших країн.

Цікаво, що вартість викупу відрізняється для різних країн. У більшості знайдених екранів блокування ціна викупу становить близько 150 доларів, однак користувачів із США просять заплатити за розблокування найвищу ціну — 300 доларів. В той час як жертви з Румунії могли відкупитися «всього лише» за допомогою 100 євро.

Оскільки шкідлива програма Win32/Nymaim володіє широкими можливостями та використовує новий спосіб поширення, аналітики ESET вже найближчим часом очікують значне збільшення варіацій, отже, і жертв цього класу загроз.

Відзначимо, що продукти ESET якісно виявляють загрозу Win32/Nymaim. При цьому для ще більш надійного захисту від даного типу загроз користувачам рекомендується оновити використовувані флагманські продукти ESET NOD32 Antivirus® та ESET Smart Security® до сьомої версії. У даній версії реалізовано розширений сканер пам'яті, завдяки якому антивірусні рішення ESET ефективно запобігають зараженню комп'ютера подібними троянськими програмами-вимагачами. Ця функція дозволяє виявити найбільш витончені шкідливі програми, які інші технології виявити не змогли. Сканер призначений для захисту від загроз, спеціально створених таким чином, щоб уникнути виявлення антивірусними програмами.