Троян-вымогатель Nymaim заражает ПК через Google

Компания Eset сообщает о новом способе распространения троянской программы Nymaim. Троян может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

Программа Nymaim – это троян с функциями вымогателя. Недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.
Механизм заражения

Эксперты Eset установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. «темную поисковую оптимизацию» (Black Hat SEO). С ее помощью продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива. Название заархивированного файла – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами Eset названий одного файла:

video-studio-x4.exe

speakout-pre-intermediate-wb-pdf.exe

new-headway-beginner-3rd-edition.exe

donkey-kong-country-3-rom-portugues.exe

barbie-12-dancing-princesses-soundtrack.exe


Как можно видеть, в данном случае зараженные пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму «Барби и 12 танцующих принцесс» и т.д.

Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.
Заражение в два этапа

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла. Последний, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. На сегодняшний день оба файла успешно детектируются решениями Eset NOD32.

Троян-вымогатель Nymaim заражает ПК через Google
Пример экрана блокировки, демонстрируемый пользователям США
Суммы выкупа


Пользователь из любой страны может быть заражен. При этом стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150. Однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» 100 €, т.е. около $135. Нетрудно догадаться, что к пользователям из Соединенных Штатов киберпреступники испытывают наибольшую неприязнь.

Выводы
Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

В этой связи эксперты Eset рекомендуют пользователям соблюдать осторожность, не запускать сомнительные архивы, регулярно осуществлять резервное копирование важных данных. И, коненчо же, очень важно использовать современные решения для обеспечения сохранности личной информации и защиты от интернет-угроз – такие, как решения Eset NOD32.

Обновленные персональные продукты Eset NOD32 Антивирус и Eset NOD32 Smart Security обеспечивают защиту ПК от угроз, подобных Win32/Nymaim, благодаря усовершенствованным механизмам детектирования. Так, модуль «Расширенное сканирование памяти» позволяет обнаруживать даже сложные вредоносные программы, использующие технологии многоуровневого шифрования для скрытия своей активности.
Источник: Eset

Свежие новости

22:30
В Киеве массово бьют стекла в припаркованных авто
21:30
Как за одни день выиграть 6 тендеров на 20 млн 569 тыс. 221 грн?
21:00
У Вінниці у депутатки, яка опротестувала виділення 100 млн. грн., відібрали мікрофон
20:30
Ждун в Раде: Реакция соцсетей
19:30
Судебные приговоры взяточникам. Крупных коррупционеров не сажают
19:20
На День рождения к Ющенко пришли Мосийчук, Ляшко и Поплавский
19:00
Украинцы будут по-новому платить налоги на наследство и подарки
18:40
ЗАЧЕМ ФИРТАШУ BOEING, ЕСЛИ НУЖЕН «КОСМОС»
18:33
Путь Фирташа от помидоров до тюрьмы
18:30
Ляшко начал материться в прямом эфире телеканала. Видео 18+
18:10
"Скотиняки" уже не в моде: в Раде Ляшко начал материться в прямом эфире. 18+
17:30
Назначение Валерии Гонтаревой прошло с нарушением Конституции Украины и трех законов
17:00
Суд Ефремова: Через 10 минут после начала заседания адвокаты экс-регионала попросили о перерыве
16:58
Банк Порошенко удивлен поступлению на его счета средств Януковича
16:21
Почему Пенсионный фонд нужно ликвидировать
16:00
Украинского капитала в частных банках почти не осталось. Мы на пороге денационализации банковской системы
15:30
Имитация реформ: взятки-2016 - сели только 5 из 362-х
Больше новостей