Троян-вымогатель Nymaim заражает ПК через Google

Компания Eset сообщает о новом способе распространения троянской программы Nymaim. Троян может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

Программа Nymaim – это троян с функциями вымогателя. Недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.
Механизм заражения

Эксперты Eset установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. «темную поисковую оптимизацию» (Black Hat SEO). С ее помощью продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива. Название заархивированного файла – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами Eset названий одного файла:

video-studio-x4.exe

speakout-pre-intermediate-wb-pdf.exe

new-headway-beginner-3rd-edition.exe

donkey-kong-country-3-rom-portugues.exe

barbie-12-dancing-princesses-soundtrack.exe


Как можно видеть, в данном случае зараженные пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму «Барби и 12 танцующих принцесс» и т.д.

Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.
Заражение в два этапа

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла. Последний, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. На сегодняшний день оба файла успешно детектируются решениями Eset NOD32.

Троян-вымогатель Nymaim заражает ПК через Google
Пример экрана блокировки, демонстрируемый пользователям США
Суммы выкупа


Пользователь из любой страны может быть заражен. При этом стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150. Однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» 100 €, т.е. около $135. Нетрудно догадаться, что к пользователям из Соединенных Штатов киберпреступники испытывают наибольшую неприязнь.

Выводы
Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

В этой связи эксперты Eset рекомендуют пользователям соблюдать осторожность, не запускать сомнительные архивы, регулярно осуществлять резервное копирование важных данных. И, коненчо же, очень важно использовать современные решения для обеспечения сохранности личной информации и защиты от интернет-угроз – такие, как решения Eset NOD32.

Обновленные персональные продукты Eset NOD32 Антивирус и Eset NOD32 Smart Security обеспечивают защиту ПК от угроз, подобных Win32/Nymaim, благодаря усовершенствованным механизмам детектирования. Так, модуль «Расширенное сканирование памяти» позволяет обнаруживать даже сложные вредоносные программы, использующие технологии многоуровневого шифрования для скрытия своей активности.
Источник: Eset

Свежие новости

14:31
Что мешает главе ФГИ продать ОПЗ
14:00
Дело о коррупции в киевском областном отделении Фонда госимущества развалилось в суде
13:19
10 шокирующих фактов про владелицу «Sanahunt» Оксану Мороз-Хант
13:11
Олег Ляшко. Украинский патриот или популист?
13:00
В аэропорту "Борисполь" пограничники поймали пятерых иностранцев с липовыми паспортами
12:24
Как грабят банковские ячейки украинских банков и кто за это в ответе
12:13
Ротшильды, завидуйте: раскрыты тайны "бедного" главы Запорожской ОГА
11:50
Генеральная прокуратура возбудила дела в отношении 5 народных депутатов
11:04
Грабители банкоматов, заражавшие устройства вирусом, задержаны в Киеве
10:00
Прекрасное средство от хандры и усталости. ИНФОГРАФИКА
09:47
Где смотреть 2-й этап Кубка мира по биатлону: расписание трансляций
08:45
Нефтяные войны: в предвкушении нового сезона
22:30
Президент Украины будет судиться с беглым депутатом
21:30
Ощадбанк выходит на новый уровень
21:00
Много шума и ничего. Несостоявшиеся дела за коррупцию
20:30
Онищенко: Кононенко контролює корупційні схеми
19:30
Закон о минималке: вся правда о зарплатах и пенсиях
Больше новостей