Вирус-комбайн L0rdix доделали к Новому году: и это очень плохо для любителей кликать в сети

Опубликовано at 14:55
107 0

По всей видимости вирус L0rdix, давно ожидавшийся софтварный мессия хакеров, уже закончен и пущен в дело. Он ворует данные, ведёт скрытый майнинг, прекрасно уклоняется от антивирусных программ и может испортить вам новогодние праздники, если кликнете не туда.

Да-да, действительно серьезно испортить, потому что в настоящее время ни одно решение для защиты от вредоносных программ в настоящее время не может справиться с L0rdix, и он распространяется, как проказа, легко заражает другие компьютеры в сети, съёмные носители, сетевые диски и т.д.

Исследователи говорят, что угроза усиливается благодаря возможностям ботнета, в которые он собирает зараженные устройства.  Согласно сайту Nulltx, что любой злоумышленник может легко приобрести этот софт всего за $60 в даркнете.

АКБ ранее подробно рассматривало этого зловреда, еще когда он находился на стадии разработки. В ноябре эксперты по кибербезопасности из enSilo выпустили отчет о написанном на .NET приложении, обладающем функциями похитителя информации и криптомайнера. Вера хакерского сообщества в его возможности уже тогда столь велика, что его по предзаказам продавали на теневых форумах за те же 4 тысячи рублей. В эту сумму входят панель управления, услуги техподдержки (!) и компоновщик бота Telegram.

Как сообщали ранее эксперты, создатели комбайна уделили много внимания его защите от обнаружения. Код L0rdix обфусцирован с помощью стандартного инструмента ConfuserEx (а некоторые образцы и того сложнее, с помощью.NETGuard). Бот способен защитить себя от уничтожения, он умеет отслеживать свой запуск в песочнице и виртуальной среде и использует при этом не только сканы, но также WMI-запросы и ключи реестра. Наличие Sandboxie он проверяет поиском процессов, загружающих характерную библиотеку sbiedll.dll.

Специалисты также отмечали полифункциональность зловреда: пять основных (встроенных) модулей четко разделены и снабжены механизмом автообновления — оно производится сразу после проверки среды исполнения. Сразу после запуска в среде, куда он попал, бот собирает данные о зараженной машине (включая антивирусные средства и привилегии текущего пользователя), шифрует их по AES и передает на командный сервер вместе со скриншотом. На основании этой информации ему отдаются обновления и приказы.

После этого L0rdix приступает к заражению USB-накопителей: меняет атрибут файлов и папок на «скрытый» и оставляет свои копии, заимствуя имена и иконки. Чтобы обеспечить свое выживание и постоянное присутствие, зловред копирует себя в определенные конфигурацией места и для каждой копии создает запланированное задание.

Подписываемся, следим @CyberAgency

Related Post

Как избежать горя от ума: базовые правила IoT-безопасности

Опубликовано - 12.04.2018 0
Профессиональная шутка специалистов по кибербезопасности гласит: S в аббревиатуре IoT означает “Security”. При всей перспективности умных устройств, их уязвимость для…

Clarksons отказался платить вымогателям

Опубликовано - 01.12.2017 0
Британская компания Clarksons, считающаяся крупнейшей в мире судовых брокеров, подтвердила, что стала жертвой хакеров, завладевших важной конфиденциальной информацией. Компания полагает,…

Добавить комментарий