Как удалить Вирус Win32.HLLW.Rendoc.3?
на флэшке обнаружил такой вирус. Он просто все вордовские файлы переделывает в разрешение exe. пытался чистить утилитой др веба но после лечения снова все файлы прямо на моих глазах заражаются, что делать?
прошу помогите, завтра доклад сдавать..
такое уже было один раз, но в тот раз я его удалил относительно быстро а сейчас вот.
Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker)
Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске.
как удалить вирус Win32/Qhost.OSU
Eset nod 32 пишет Win32/Qhost.OSU троянская программа очищен удалением — изолирован. Нужна помощь.
Как удалить вирус? WIn32 kido net
Всем привет. ВОт такая проблема. Я засунул на работе в комп флешку, комп оказался заражен.
Win32.HLLW.Autoruner.5555
Здравствуйте! Вчера заметил, что не перестал работать "каспер". Запустил CureIT, он нашел это.
Win32.HLLW.Autoruner.2751
народ, кто уже встречался с этим вирусом. кроме доктора веба его не знают практически никакие.
Win32.HLLW.Autoruner.9410
Помогите вылечить комп от вируса Win32.HLLW.Autoruner.9410 после загрузки системы и ввода пароля.
После удаления червя win32.hllw.gavir.ini появились подозрительные файлы и папки
Ребята подскажите пожалуйста как бороться с этой заразой? Нечайно нажал на рекламу открылась.
Как вылечить вирус win32.neshta?
Поймал троянского коня SHeur4.AVOB. Который заразил (вроде) все exe файлы. На данный момент.
Как вылечить вирус win32.Neshta
Здравствуйте,вот сегодня лазел в интернете хотел скачать кино,и поймал вирус,Пробовал всякие.
Win32.HLLW.Rendoc.3
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).
«Доктор Веб»: обзор вирусной активности за 2020 год
В 2020 году одними из самых распространенных угроз, с которыми массово сталкивались пользователи, стали трояны-дропперы, распространяющие и устанавливающие другое вредоносное ПО, многочисленные рекламные приложения, мешающие нормальной работе устройств, а также различные модификации троянов-загрузчиков, запускающих в инфицированной системе исполняемые файлы с набором вредоносных функций. Кроме того, на протяжении всего года хакерские группировки активно распространяли троянские программы, использующие функциональность популярных утилит для удаленного администрирования. Так, вирусная лаборатория «Доктор Веб» зафиксировала несколько атак с использованием RAT-троянов, которые позволяют злоумышленникам дистанционно управлять зараженными компьютерами и доставлять на них вредоносную нагрузку.
РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Dr.Web Enterprise Security Suite — Dr.Web Desktop Security Suite
Защита рабочих станций, клиентов терминальных серверов, клиентов виртуальных серверов и клиентов встроенных систем. Dr.Web для WindowsDr.Web для Linux. Dr.Web для Mac OS X. Консольные сканеры Dr.Web для Windows, MS DOS, OS/2. Подробнее>>
Dr.Web Enterprise Security Suite — Dr.Web Server Security Suite
Антивирусное средство, предназначенное для защиты файловых серверов типа Samba, базирующихся на таких операционных системах, как: Linux, OpenBSD, Solaris (Intel),FreeBSD, MCBC, Novell NetWare и Windows. Подробнее>>
Dr.Web Enterprise Security Suite — Dr.Web Mail Security Suite
Антивирусная программа, позволяющая осуществлять фильтрацию SMTP-трафика, проходящего обработку на почтовом сервере. В составе продукты — Dr.Web® для почтовых серверов и шлюзов Unix Dr.Web® для MS Exchange Dr.Web® для IBM Lotus Domino для Windows Dr.Web® для IBM Lotus Domino для Linux Dr.Web® для почтовых серверов Kerio для Linux Dr.Web® для почтовых серверов Kerio для Mac Подробнее>>
Также в этом году вирусные аналитики «Доктор Веб» расследовали несколько масштабных целевых атак, направленных на корпоративный сектор. В ходе работы были выявлены несколько семейств троянов, которыми были инфицированы компьютеры различных государственных учреждений.
В почтовом трафике самыми активными угрозами оказались банковские трояны, стилеры, различные модификации бэкдоров, написанные на VB.NET, а также вредоносные сценарии, перенаправляющие пользователей на опасные и нежелательные сайты. Кроме того, посредством электронной почты злоумышленники активно распространяли программы, эксплуатирующие уязвимости документов Microsoft Office.
Несмотря на то, что большая часть выявленных угроз представляла опасность для пользователей ОС Windows, владельцы компьютеров под управлением macOS также были в зоне риска. В течение года были обнаружены трояны-шифровальщики и шпионские программы, работающие под управлением macOS, а также руткиты, которые скрывали работающие процессы. Также под видом разнообразных приложений активно распространялись рекламные установщики, которые загружали на компьютеры различную потенциально опасную нагрузку. В большинстве случаев под угрозой находились те пользователи, которые отключали встроенные системы безопасности и загружали приложения из недоверенных источников.
Пользователям мобильных устройств на базе ОС Android угрожали рекламные, шпионские и банковские троянские программы, а также всевозможные загрузчики, которые скачивали другие вредоносные приложения и выполняли произвольный код. Значительная часть вредоносного ПО распространялась через каталог Google Play.
Главные тенденции года
-Рост числа таргетированных атак, в том числе атак троянов-вымогателей
-Рост числа фишинговых атак и спам-кампаний с применением социальной инженерии
-Появление новых угроз для macOS
-Активное распространение вредоносных программ для ОС Android в каталоге Google Play
Наиболее интересные события 2020 года
В феврале вирусные аналитики «Доктор Веб» сообщили о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта загружали измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Управление было реализовано при помощи компонентов программы TeamViewer и троянской библиотеки семейства BackDoor.TeamViewer, которая устанавливала несанкционированное соединение. При помощи бэкдора злоумышленники могли доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений.
В марте специалисты «Доктор Веб» рассказали о компрометации ряда сайтов, созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправлял посетителей на фишинговую страницу, где пользователям предлагалось установить важное обновление безопасности для браузера Chrome. Загружаемый файл представлял собой установщик вредоносного ПО, которое позволяло дистанционно управлять инфицированными компьютерами. В этот раз злоумышленники вновь использовали легитимные компоненты TeamViewer и троянскую библиотеку, которая устанавливала соединение и скрывала от пользователей работу программы.
Летом вирусная лаборатория «Доктор Веб» выпустила масштабное исследование вредоносного ПО, применявшегося в APT-атаках на государственные учреждения Казахстана и Киргизии. В рамках расследования аналитики обнаружили ранее неизвестное семейство мультимодульных троянских программ XPath, предназначенных для несанкционированного доступа к компьютерам с последующим выполнением различных вредоносных действий по команде злоумышленников. Представители семейства использовали сложный механизм заражения, при котором работа каждого модуля соответствовала определенной стадии работы вредоносной программы. Кроме того, трояны обладали руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе.
Позже в вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии. Самой интересной находкой оказался многокомпонентный троян-бэкдор ShadowPad, который, по нашим данным, может являться эволюцией другого мультимодульного APT-бэкдора — PlugX, ранее также обнаруженного в скомпрометированных сетях пострадавших организаций. Сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре было посвящено отдельное исследование.
В сентябре компания «Доктор Веб» сообщила о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Для первичного заражения злоумышленники использовали электронные письма с вредоносными вложениями, при открытии которых устанавливались бэкдоры, позволяющие управлять инфицированными компьютерами. Анализ документов, вредоносных программ, а также использованной инфраструктуры свидетельствует о возможной причастности к этой атаке одной из китайских APT-групп.
В ноябре вирусные аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. Чтобы заставить потенциальных жертв открыть вложения, злоумышленники применяли методы социальной инженерии.
Вирусная обстановка
Анализ данных статистики Dr.Web показал, что в 2020 году пользователей чаще всего атаковали трояны-дропперы и загрузчики, которые устанавливали другие вредоносные приложения и выполняли произвольный код. Кроме того, пользователям по-прежнему угрожали трояны и скрипты, выполняющие скрытый майнинг криптовалют.
Trojan.BPlug.3867
Вредоносное расширение для браузера, предназначенное для веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы.
Trojan.Starter.7394
Представитель семейства троянов, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций.
Trojan.MulDrop9.2530
Дроппер, распространяющий и устанавливающий другое вредоносное ПО.
Win32.HLLW.Rendoc.3
Сетевой червь, распространяющийся в том числе через съемные носители информации.
VBS.BtcMine.13
Вредоносный сценарий на языке VBS, выполняющий скрытую добычу криптовалют.
JS.IFrame.634
Скрипт, который злоумышленники внедряют в html-страницы. При открытии таких страниц скрипт выполняет перенаправление на различные вредоносные и нежелательные сайты.
Trojan.Encoder.11432
Многокомпонентный сетевой червь, известный под именем WannaCry. Вредоносная программа имеет несколько компонентов, троян-шифровальщик — лишь один из них.
Trojan.InstallCore.3553
Семейство обфусцированных установщиков рекламного и нежелательного ПО, использующее недобросовестные методы распространения.
Win32.Virut.5
Полиморфный вирус, заражающий исполняемые файлы. Содержит функции управления инфицированными компьютерами с использованием IRC-канала.
Trojan.BtcMine.3165
Троянская программа, выполняющая на зараженном устройстве скрытую добычу криптовалют.
В почтовом трафике преобладали трояны-банкеры, бэкдоры и вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники распространяли скрипты для скрытого майнинга и фишинга, а также перенаправления пользователей на нежелательные и потенциально опасные сайты.
Trojan.SpyBot.699
Многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код.
Exploit.CVE-2012-0158
Измененный документ Microsoft Office Word, для выполнения вредоносного кода использующий уязвимость CVE-2012-0158.
W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
JS.Redirector.407
Вредоносный сценарий на языке JavaScript, размещаемый в коде веб-страниц. Предназначен для перенаправления пользователей на фишинговые или рекламные сайты.
Exploit.ShellCode.69
Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
JS.Phishing.70
Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.
VBS.BtcMine.13
Вредоносный сценарий на языке VBS, выполняющий скрытую добычу криптовалют.
JS.BtcMine.86
Вредоносный сценарий на языке JavaScript, выполняющий скрытую добычу криптовалют.
BackDoor.SpyBotNET.25
Бэкдор, написанный на .NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т. д.), завершать процессы, делать снимки экрана.
JS.Miner.11
Семейство сценариев на языке JavaScript, предназначенных для скрытой добычи криптовалют.
Шифровальщики
По сравнению с 2019 годом, в 2020 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 18,4% меньше. Динамика регистрации таких запросов в 2020 году показана на графике:
Наиболее распространенные шифровальщики в 2020 году:
Trojan.Encoder.26996
Шифровальщик, известный как STOP Ransomware. Пытается получить приватный ключ с сервера, а в случае неудачи пользуется зашитым. Один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20.
Trojan.Encoder.567
Шифровальщик, написанный на Delphi. История развития трояна насчитывает множество версий с использованием различных алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам.
Trojan.Encoder.29750
Шифровальщик из семейства Limbo/Lazarus. Несет в себе зашитый авторский ключ, применяемый в случае отсутствия связи с управляющим сервером и возможности выгрузить приватную часть сгенерированного ключа.
Trojan.Encoder.858
Шифровальщик, известный как Troldesh Ransomware. Скомпилирован с использованием Tor — cразу после запуска инициализируется Tor, при этом подключение происходит к одному из мостов, адрес которого зашит в трояне. Для шифрования данных используется алгоритм AES в режиме CBC.
Trojan.Encoder.11464
Шифровальщик, также известный как Scarab Ransomware. Впервые обнаружен в июне 2017 года. Изначально распространялся через ботнет Necurs. Для шифрования пользовательских файлов программа использует алгоритмы AES-256 и RSA-2048.
Опасные и нерекомендуемые сайты
Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate в продуктах Dr.Web регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишинговые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Наибольшее число таких ресурсов было зафиксировано в третьем квартале, а наименьшее — во втором. Динамика пополнения баз нерекомендуемых и опасных сайтов в уходящем году показана на диаграмме ниже.
Сетевое мошенничество
В феврале специалисты компании «Доктор Веб» предупредили пользователей о запуске в социальной сети Instagram масштабной фишинговой кампании, основанной на сообщениях о единовременной выплате всем гражданам Российской Федерации. Злоумышленники подавали информацию в виде отрывков из выпусков новостей, используя подходящие по смыслу фрагменты из настоящих эфиров. При этом в видеоряд были вставлены дополнительные кадры, содержащие инструкции по заполнению форм на фишинговых сайтах, которые маскировались под официальные ресурсы Минэкономразвития России.
В течение 2020 года интернет-аналитиками компании было выявлено множество мошеннических сайтов, маскирующихся под официальные ресурсы государственных организаций. Чаще всего мошенники предлагали получить несуществующую компенсацию или инвестировать в крупные компании.
Для получения обещанных выгод посетителям чаще всего требовалось ввести свои данные, включая данные банковских карт, и предварительно внести оплату. Таким образом, пользователи теряли не только деньги, но и передавали свои персональные данные злоумышленникам.
Для мобильных устройств
В 2020 году владельцам Android-устройств угрожали различные вредоносные и нежелательные приложения. Например, пользователи часто сталкивались со всевозможными рекламными троянами, которые показывали надоедливые уведомления и баннеры. Среди них было множество вредоносных программ семейства Android.HiddenAds, распространявшихся в том числе через каталог Google Play. В течение года вирусные аналитики «Доктор Веб» выявили в нем десятки этих троянов, которых загрузили более 3 300 000 пользователей. На долю таких вредоносных приложений пришлось свыше 13% от общего числа угроз, выявленных на Android-устройствах.
Кроме того, в марте вирусные аналитики обнаружили в Google Play многофункционального трояна Android.Circle.1, которой получал команды с BeanShell-скриптами и также мог показывать рекламу. Помимо этого, он мог переходить по ссылкам, загружать веб-сайты и нажимать на размещенные там баннеры. Позднее были найдены и другие вредоносные программы, принадлежащие к этому семейству.
Другой угрозой, с которой часто сталкивались пользователи, стали всевозможные трояны-загрузчики. Среди них были многочисленные представители семейства Android.RemoteCode, скачивающие и выполняющие произвольный код. На их долю пришлось более 14% угроз, выявленных антивирусными продуктами Dr.Web для Android. Кроме того, владельцам Android-устройств угрожали трояны семейств Android.DownLoader и Android.Triada, загружавшие и устанавливавшие другие приложения.
Наряду с троянами-загрузчиками широкое распространение получили потенциально опасные утилиты, позволяющие запускать программы без их установки. Среди них — утилиты Tool.SilentInstaller и Tool.VirtualApk. Вирусописатели активно применяли их для распространения различного ПО, получая вознаграждение от партнерских сервисов.
Для распространения вредоносных и нежелательных приложений злоумышленники активно эксплуатировали тему пандемии коронавируса. Например, они создавали различные мошеннические сайты, на которых жертвам предлагалось установить справочные или медицинские программы, связанные с коронавирусной инфекцией, а также приложения для получения материальной помощи. В действительности с таких сайтов на Android-устройства загружались шпионские программы, различные банковские трояны, трояны-вымогатели и другое вредоносное ПО.
В течение года вирусные аналитики «Доктор Веб» выявили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, предназначенных для загрузки мошеннических сайтов. Злоумышленники выдавали этих троянов за справочники с информацией о социальных выплатах и компенсациях. В период пандемии и непростой экономической ситуации пользователей интересовали такие сведения, и на уловку киберпреступников попалось множество владельцев Android-устройств.
Также в 2020 году на Android-устройствах было выявлено множество приложений, позволяющих следить за их владельцами. Они могли применяться для кибершпионажа и собирать широкий спектр персональной информации — переписку, фотографии, документы, список контактов, информацию о местоположении, сведения о контактах, телефонных разговорах и т. д.
Перспективы и вероятные тенденции
Прошедший год продемонстрировал устойчивое распространение не только массового вредоносного ПО, но и APT-угроз, с которыми сталкивались организации по всему миру.
В 2021 году следует ожидать дальнейшего распространения цифрового вымогательства, при этом целевым атакам с использованием троянов-шифровальщиков все чаще будут подвержены частные компании и корпоративный сектор. Этому способствует развитие модели RaaS (Ransomware as a Service — вымогательство как услуга), а также ощутимый для хакерских группировок результат, стимулирующий их преступную деятельность. Возможное сокращение расходов на информационную безопасность также может привести к стремительному росту числа подобных инцидентов.
Пользователям по-прежнему будет угрожать массовое вредоносное программное обеспечение —банковские и рекламные трояны, майнеры и шифровальщики, а также шпионское ПО. Стоит также готовиться к появлению новых мошеннических схем и фишинговых кампаний, с помощью которых злоумышленники будут пытаться завладеть не только деньгами, но и персональными данными.
Владельцы устройств под управлением macOS, Android, Linux и других операционных систем останутся под пристальным вниманием вирусописателей, и вредоносное ПО продолжит свое распространение на эти платформы. Также можно ожидать, что участятся и станут более изощренными атаки на устройства интернета вещей. Можно с уверенностью сказать, что киберпреступники продолжат использовать для своего обогащения любые методы, поэтому пользователям необходимо соблюдать правила информационной безопасности и применять надежные антивирусные средства на всех устройствах.
ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения Dr.Web для бизнеса
Переход в он-лайн магазин Датасиcтем — официального Поставщика Dr.Web в Российской Федерации. Перейти на сайт Поставщика>>
«Доктор Веб»: обзор вирусной активности за 2021 год
Среди самых популярных угроз в 2021 году фигурировали многочисленные вредоносные программы. Среди них были трояны-дропперы, предназначенные для распространения вредоносного ПО, а также множественные модификации троянов-загрузчиков — они загружают и запускают на компьютере жертвы исполняемые файлы с различной полезной нагрузкой. Помимо этого, злоумышленники активно распространяли бэкдоры.
Среди почтовых угроз самыми популярными оказались стилеры, различные модификации бэкдоров, написанные на VB.NET. Кроме того, злоумышленники активно распространяли PDF-файлы с вредоносной нагрузкой, трояны-загрузчики, а также веб-страницы, представляющие собой форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Часть распространяемых в почте угроз пришлась на программы, эксплуатирующие различные уязвимости документов Microsoft Office.
В 2021 году вирусная лаборатория «Доктор Веб» опубликовала несколько расследований. Одним из них стало исследование Spyder — модульного бэкдора для целевых атак. Наши специалисты зафиксировали, что хакерская группировка Winnti использовала этот образец для атак на предприятия в Центральной Азии.
Также в прошедшем году аналитики «Доктор Веб» расследовали целевые атаки на российские НИИ. В ходе расследования специалистам нашей компании удалось раскрыть несанкционированное присутствие APT-группы, деятельность которой оставалась незамеченной почти 3 года.
Однако вирусописатели традиционно не ограничивали себя платформой Windows. Атакам регулярно подвергались владельцы устройств на базе ОС Android. Злоумышленники активно распространяли трояны в каталоге Google Play, при этом мы обнаружили первые трояны и в AppGallery. Самыми популярными угрозами для мобильных устройств оказались различные шпионские и банковские трояны, а также загрузчики вредоносного ПО и трояны, способные выполнять произвольный код.
Главные тенденции года
- Активное распространение ВПО для Android, в том числе в официальных каталогах
- Рост числа инцидентов с троянами-вымогателями
- Рост числа мошеннических сайтов
- Распространение сетевого мошенничества
Наиболее интересные события 2021 года
В марте специалисты «Доктор Веб» выпустили масштабное исследование модульного бэкдора, предназначенного для целевых атак. В нашу вирусную лабораторию обратились телекоммуникационная компания из Центральной Азии. Оказалось, что сеть была скомпрометирована хакерской группировкой Winnti. Рассмотренный образец бэкдора для целевых атак BackDoor.Spyder.1 оказался примечателен тем, что его код не выполняет прямых вредоносных функций. Среди основных задач трояна — скрытое функционирование в зараженной системе и установление связи с управляющим сервером с последующим ожиданием команд операторов.
Спустя месяц специалисты «Доктор Веб» опубликовали ещё одно исследование. За помощью обратился российский научно-исследовательский институт — сотрудники заметили некоторые технические проблемы, которые свидетельствовали о наличии вредоносного ПО на сервере локальной сети. Вирусные аналитики выяснили, что НИИ подвергся целевой атаке с использованием нескольких бэкдоров, включая BackDoor.Skeye и BackDoor.DNSep. Примечательно, что впервые сеть была скомпрометирована ещё в 2017 году и с тех пор несколько раз подвергалась атакам, судя по имеющимся данным — сразу несколькими хакерскими группировками.
Летом компания «Доктор Веб» рассказывала о появлении критических уязвимостей диспетчера очереди печати ОС Windows. Уязвимость затрагивала все популярные версии операционной системы. С помощью эксплойтов злоумышленники использовали в своих целях компьютеры жертв. Например, загружали вредоносные трояны-шифровальщики, требующие выкуп за расшифровку поврежденных файлов. Уязвимости CVE-2021-34527 и CVE-2021-1675 получили название PrintNightmare. Для каждой из них вскоре появились официальные патчи от разработчика операционной системы.
Начало осени запомнилось массовым введением QR-кодов, подтверждающих факт вакцинации, в связи с чем активизировались мошенники. Например, злоумышленники часто подделывали сайт портала Госуслуг. Фишинговые сайты предназначались для кражи учетных данных, впоследствии используемых для несанкционированных действий от лица жертв. Количество выявленных фишинговых сайтов резко увеличилось почти на 30%. В дни наибольшей активности мошенников база веб-антивируса Dr.Web SpIDer Gate пополнялась сотнями фейковых сайтов.
Эксплуатация коронавирусной повестки продолжилась и в декабре. Злоумышленники предлагали скачать генератор QR-кодов о вакцинации. На деле же пользователь, который загружал вредоносную программу, получал сразу несколько троянов. Загруженный архив содержал исполняемый файл, который дополнительно доставлял на компьютер жертвы майнер и клипер.
Также в прошедшем году пользователям угрожали уязвимости библиотеки логирования Log4j 2. Наиболее критическая из них — Log4Shell (CVE-2021-44228) основана на том, что при логировании библиотекой Log4j 2 сообщений, сформированных особым образом, происходит обращение к контролируемому злоумышленниками серверу с последующим выполнением кода. Через уязвимости киберпреступники распространяли майнеры, бэкдоры, а также DDoS-трояны. Продукты Dr.Web успешно детектируют полезную нагрузку вредоносного ПО, проникающего на устройства через уязвимости.
Вирусная обстановка
Анализ статистики Dr.Web показал, что в 2021 году пользователей чаще всего атаковали трояны-загрузчики, которые устанавливали вредоносные программы. Помимо этого, на протяжении всего года пользователям угрожали различные бэкдоры и трояны, предназначенные для скрытого майнинга.
Trojan.BPlug.3867 Вредоносное расширение для браузера, предназначенное для осуществления веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы. Trojan.AutoIt.289 Trojan.AutoIt.961 Утилита, написанная на скриптовом языке AutoIt и распространяемая в составе майнера или RAT-трояна. Выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки. Tool.BtcMine.2449 Вредоносная программа для скрытого майнинга на устройстве. BackDoor.RMS.178 BackDoor.RMS.82 Бэкдор для удаленного управления компьютером. Trojan.DownLoader35.65029 Троян для загрузки вредоносного ПО на компьютер жертвы. Trojan.MulDrop9.2530 Trojan.MulDrop15.62039 Дроппер, распространяющий и устанавливающий другое вредоносное ПО. JS.DownLoader.5684 Троян, написанный на языке JavaScript, предназначенный для загрузки вредоносных программ.
В почтовом трафике в 2021 году чаще всего распространяли различные бэкдоры, трояны-банкеры и другое вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники отправляли в фишинговых рассылках фиктивные формы ввода данных и вредоносные PDF-файлы.
W97M.DownLoader.2938 Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ. BackDoor.SpyBotNET.25 Бэкдор, написанный на .NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т. д.), завершать процессы, делать снимки экрана. JS.IFrame.811 Скрипт, который злоумышленники внедряют в html-страницы. При открытии таких страниц скрипт выполняет перенаправление на различные вредоносные и нежелательные сайты. Trojan.SpyBot.699 Многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код. Win32.HLLW.Rendoc.3 Сетевой червь, распространяющийся в том числе через съемные носители информации. JS.Redirector.407 Вредоносный сценарий на языке JavaScript, размещаемый в коде веб-страниц. Предназначен для перенаправления пользователей на фишинговые или рекламные сайты. PDF.Phisher.313 PDF-документ, использующийся в фишинговой рассылке. Exploit.ShellCode.69 Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882. HTML.FishForm.209 Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленнику. JS.Siggen5.40409 Вредоносный сценарий, написанный на языке JavaScript.
Шифровальщики
По сравнению с 2020, в 2021 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 26,6% меньше. Динамика регистрации таких запросов в 2021 году показана на графике:
Наиболее распространенные шифровальщики в 2021 году:
Сетевое мошенничество
В течение 2021 года интернет-аналитики «Доктор Веб» обнаружили множество опасных сайтов, большинство из которых оказались связаны с тематикой QR-кодов. В мае были обнаружены страницы, позволяющие купить любые поддельные документы, в том числе и справки о прививке от коронавируса. Мошенники тщательно пытались замаскировать нелегальную деятельность, публикуя на сайте разоблачающие других жуликов статьи.
С тех пор злоумышленники не отпускали тему коронавируса, каждый месяц создавая сайты и прочие ресурсы, где можно купить или сгенерировать QR-код. Летом специалисты «Доктор Веб» обнаружили приватные чаты: они кишат предложениями приобрести QR-код и подтверждают «безопасность» процедуры якобы восторженными отзывами тех, кто уже купил сертификат о вакцинации.
Также на волне коронавирусной тематики злоумышленники распространяют фейковые генераторы QR-кодов. Следует помнить, что сертификат о вакцинации нельзя сгенерировать каким-то особым образом, — он генерируется только из ссылки на конкретную страницу портала Госуслуг или информационной системы субъекта федерации, касающуюся факта иммунизации гражданина.
Для мобильных устройств
Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2021 году пользователи ОС Android чаще всего сталкивались с троянами семейства Android.HiddenAds, демонстрировавшими всевозможную рекламу. На их долю пришлось более 83% всех вредоносных приложений, обнаруженных на защищаемых устройствах. Широкое распространение получили трояны, основная функция которых — загрузка других программ, а также скачивание и запуск произвольного кода. По сравнению с 2020 годом, на 43% возросла активность банковских троянов.
Среди нежелательных приложений самыми активными оказались программы семейства Program.FakeAntiVirus, имитировавшие работу антивирусов. Они предлагали пользователям приобрести их полные версии — якобы для лечения выявленных заражений. Также на Android-устройствах встречалось различное ПО, позволяющее следить за их владельцами.
Более чем на 53% выросло число обнаруженных потенциально опасных утилит Tool.SilentInstaller, позволяющих запускать Android-приложения без их установки. Такие инструменты могут использоваться не только в безобидных целях, но и при распространении троянов. Всевозможные рекламные модули и рекламные программы также детектировались довольно часто — их доля превысила 10% от всех выявленных угроз.
В течение года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них — приложения-подделки семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, и трояны Android.Joker, способные загружать и исполнять произвольный код, а также автоматически подписывать пользователей на платные мобильные сервисы. Также здесь встречались рекламные трояны, рекламные приложения и банковские трояны. Кроме того, злоумышленники распространяли вредоносные программы семейства Android.PWS.Facebook, похищавшие необходимые для взлома учетных записей Facebook данные.
Минувший год был отмечен тем, что в каталоге приложений AppGallery для Android-устройств компании Huawei были найдены первые троянские приложения. Ими стали уже знакомые трояны семейства Android.Joker, а также вредоносный модуль Android.Cynos.7.origin, который собирал информацию о мобильных номерах пользователей и демонстрировал рекламу.
Среди угроз, выявленных нашими специалистами в 2021 году, был троян Android.Triada.4912. Злоумышленники встроили его в одну из версий приложения APKPure — клиентского ПО одноименного альтернативного каталога Android-программ. Он загружал различные веб-сайты, а также скачивал другие вредоносные модули и разнообразные приложения. Кроме того, вирусные аналитики «Доктор Веб» обнаружили новое семейство модульных банковских троянов Android.BankBot.Coper. Они перехватывают и отправляют СМС-сообщения, выполняют USSD-запросы, блокируют и разблокируют экран, демонстрируют push-уведомления и фишинговые окна, способны удалять программы, перехватывать вводимую на клавиатуре информацию и выполнять другие вредоносные действия.
Также в минувшем году компания «Доктор Веб» проанализировала популярные в России модели детских смарт-часов на предмет возможных уязвимостей в них. Как показало исследование, безопасность подобных устройств находится на неудовлетворительном уровне. Например, на одной из моделей были предустановленные троянские приложения.
Перспективы и вероятные тенденции
В первую очередь, прошедший год показал, насколько оперативно злоумышленники подстраиваются под ту или иную актуальную тематику. Следует ожидать ещё более хитрых мошеннических схем, связанных с ковидом или другими важными темами грядущего года.
Помимо этого, останутся активными рекламные трояны, всевозможные шифровальщики и другое вредоносное ПО. Корпорациям и компаниям в новом году следует уделять повышенное внимание информационной защите. Как показывает практика, пренебрежение правилами цифровой безопасности многократно увеличивает риски компрометации корпоративной сети. 2021 год запомнился большим количеством «громких» инцидентов с троянами-вымогателями, распространяющимся по модели Ransomware as a Service (RaaS). И эта тенденция продолжит набирать обороты.
Также стоит быть внимательными пользователям устройств, управляемых ОС Android. Ожидается увеличение количества угроз в официальных каталогах приложений.