Троян-вымогатель Nymaim заражает ПК через Google

Компания Eset сообщает о новом способе распространения троянской программы Nymaim. Троян может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

Программа Nymaim – это троян с функциями вымогателя. Недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.
Механизм заражения

Эксперты Eset установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. «темную поисковую оптимизацию» (Black Hat SEO). С ее помощью продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива. Название заархивированного файла – для повышения доверия пользователей – соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами Eset названий одного файла:

video-studio-x4.exe

speakout-pre-intermediate-wb-pdf.exe

new-headway-beginner-3rd-edition.exe

donkey-kong-country-3-rom-portugues.exe

barbie-12-dancing-princesses-soundtrack.exe


Как можно видеть, в данном случае зараженные пользователи искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму «Барби и 12 танцующих принцесс» и т.д.

Так или иначе, загруженный под любым названием вредоносный архив содержит исполняемый файл, который после запуска устанавливает в систему код Nymaim.
Заражение в два этапа

Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла. Последний, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. На сегодняшний день оба файла успешно детектируются решениями Eset NOD32.

Троян-вымогатель Nymaim заражает ПК через Google
Пример экрана блокировки, демонстрируемый пользователям США
Суммы выкупа


Пользователь из любой страны может быть заражен. При этом стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около $150. Однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300 долларов; в Румынии же зараженный пользователь может отделаться «всего лишь» 100 €, т.е. около $135. Нетрудно догадаться, что к пользователям из Соединенных Штатов киберпреступники испытывают наибольшую неприязнь.

Выводы
Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

В этой связи эксперты Eset рекомендуют пользователям соблюдать осторожность, не запускать сомнительные архивы, регулярно осуществлять резервное копирование важных данных. И, коненчо же, очень важно использовать современные решения для обеспечения сохранности личной информации и защиты от интернет-угроз – такие, как решения Eset NOD32.

Обновленные персональные продукты Eset NOD32 Антивирус и Eset NOD32 Smart Security обеспечивают защиту ПК от угроз, подобных Win32/Nymaim, благодаря усовершенствованным механизмам детектирования. Так, модуль «Расширенное сканирование памяти» позволяет обнаруживать даже сложные вредоносные программы, использующие технологии многоуровневого шифрования для скрытия своей активности.
Источник: Eset

Свежие новости

21:30
В Одесской области на взятке попался глава сельсовета
21:00
«Я подал законопроект, предлагающий установить депутатскую зарплату на уровне минимального прожиточного минимума», – Вадим Рабинович
20:00
Виталий Журавский: из мусорного бака обратно в депутаты
19:41
У Верховній Раді розпочинають збір підписів за створення Інформаційного комісара
18:40
В Украине не хватает присяжных
18:00
За банкротствами банков скрывалась схема колоссального дерибана
18:00
Парубий пригрозил закрыть Раду
17:30
Савченко обвинила Порошенко в несамостоятельности
17:30
Савченко обвинила Порошенко в несамостоятельности
17:20
ФГВФЛ предъявит Бахматюку иск на 4 миллиарда за банкротство банка «Финансовая инициатива»
16:33
Нардеп Геннадий Чекита: ОПЗ сдают в аренду или в банкротство?
16:30
Судья уличил правоохранителей в провокации взятки на Киевской таможне
16:30
Судья уличил правоохранителей в провокации взятки на Киевской таможне
16:00
КАК «АНТИКОРРУПЦИОНЕР» ЛЕЩЕНКО ЛЕГАЛИЗИРОВАЛ ТЕНЕВЫЕ ДОХОДЫ
16:00
Мосийчук нарушил Конституцию прямо в Раде
15:10
Гонтарева может отправиться под суд
15:00
Главой наблюдательного совета ПриватБанка стал турецкий банкир
Больше новостей