Троян-вымогатель Nymaim заражает ПК через Google

Компания Eset сообщает о новом способе распространения троянской программы Nymaim. Троян может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

Программа Nymaim – это троян с функциями вымогателя. Недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.
Механизм заражения

Эксперты Eset установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. «темную поисковую оптимизацию» (Black Hat SEO). С ее помощью продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива. Название заархивированного файла – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами Eset названий одного файла:

video-studio-x4.exe

speakout-pre-intermediate-wb-pdf.exe

new-headway-beginner-3rd-edition.exe

donkey-kong-country-3-rom-portugues.exe

barbie-12-dancing-princesses-soundtrack.exe


Как можно видеть, в данном случае зараженные пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму «Барби и 12 танцующих принцесс» и т.д.

Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.
Заражение в два этапа

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла. Последний, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. На сегодняшний день оба файла успешно детектируются решениями Eset NOD32.

Троян-вымогатель Nymaim заражает ПК через Google
Пример экрана блокировки, демонстрируемый пользователям США
Суммы выкупа


Пользователь из любой страны может быть заражен. При этом стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150. Однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» 100 €, т.е. около $135. Нетрудно догадаться, что к пользователям из Соединенных Штатов киберпреступники испытывают наибольшую неприязнь.

Выводы
Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

В этой связи эксперты Eset рекомендуют пользователям соблюдать осторожность, не запускать сомнительные архивы, регулярно осуществлять резервное копирование важных данных. И, коненчо же, очень важно использовать современные решения для обеспечения сохранности личной информации и защиты от интернет-угроз – такие, как решения Eset NOD32.

Обновленные персональные продукты Eset NOD32 Антивирус и Eset NOD32 Smart Security обеспечивают защиту ПК от угроз, подобных Win32/Nymaim, благодаря усовершенствованным механизмам детектирования. Так, модуль «Расширенное сканирование памяти» позволяет обнаруживать даже сложные вредоносные программы, использующие технологии многоуровневого шифрования для скрытия своей активности.
Источник: Eset

Свежие новости

12:01
Брати Буряки з партнерами Хомутинніка і Калетнік роздерибанили під забудову 24 гектари в Конча-Заспі
12:00
В Борисполе на взятке задержали замначальника следственного отдела полиции
11:10
Как Гонтарева превратила Нацбанк в блошиный рынок залогов
11:00
Ляшко "засветил" новую куртку Simms почти за 30 тысяч
10:30
«Арест» Яценюка: в Раде рассказали об опасности для политиков
10:30
Кононенко добился отмены решения Кабмин Украины для своей компании Yuzgaz B.V.
10:06
«Самопомощь» в Днепре: как секретарь горсовета Вячеслав Мишалов и его родственники воруют деньги на тендерах.
09:40
Кому в Украине жить хорошо
09:30
Супрун: “Хватит врать, что у нас бесплатная медицина! Платит вся страна”
09:00
Дружина вінницького мера за один рік розбагатіла на 6 мільйонів 290 тисяч гривень
09:00
Расстрел Вороненкова: безответственность власти или предательство?
22:00
В Запорожье загорелся трамвай с пассажирами
21:00
Кто угрожал Гонтаревой физической расправой? Названо имя известного бизнесмена
20:50
"Прокуратура Киевской области снова покрывыет земельные аферы под Киевом", - активисты
20:00
На Одесчине начальника склада ракетно-артиллерийского вооружения разоблачили на хищении имущества
20:00
Киян обурив неякісний ремонт метро «Лівобережна», який коштував майже $1 мільйон (ФОТО)
19:26
Гонтареву сменит Лавренчук?
Больше новостей