Вирус-комбайн L0rdix доделали к Новому году: и это очень плохо для любителей кликать в сети

Опубликовано at 14:55
63 0

По всей видимости вирус L0rdix, давно ожидавшийся софтварный мессия хакеров, уже закончен и пущен в дело. Он ворует данные, ведёт скрытый майнинг, прекрасно уклоняется от антивирусных программ и может испортить вам новогодние праздники, если кликнете не туда.

Да-да, действительно серьезно испортить, потому что в настоящее время ни одно решение для защиты от вредоносных программ в настоящее время не может справиться с L0rdix, и он распространяется, как проказа, легко заражает другие компьютеры в сети, съёмные носители, сетевые диски и т.д.

Исследователи говорят, что угроза усиливается благодаря возможностям ботнета, в которые он собирает зараженные устройства.  Согласно сайту Nulltx, что любой злоумышленник может легко приобрести этот софт всего за $60 в даркнете.

АКБ ранее подробно рассматривало этого зловреда, еще когда он находился на стадии разработки. В ноябре эксперты по кибербезопасности из enSilo выпустили отчет о написанном на .NET приложении, обладающем функциями похитителя информации и криптомайнера. Вера хакерского сообщества в его возможности уже тогда столь велика, что его по предзаказам продавали на теневых форумах за те же 4 тысячи рублей. В эту сумму входят панель управления, услуги техподдержки (!) и компоновщик бота Telegram.

Как сообщали ранее эксперты, создатели комбайна уделили много внимания его защите от обнаружения. Код L0rdix обфусцирован с помощью стандартного инструмента ConfuserEx (а некоторые образцы и того сложнее, с помощью.NETGuard). Бот способен защитить себя от уничтожения, он умеет отслеживать свой запуск в песочнице и виртуальной среде и использует при этом не только сканы, но также WMI-запросы и ключи реестра. Наличие Sandboxie он проверяет поиском процессов, загружающих характерную библиотеку sbiedll.dll.

Специалисты также отмечали полифункциональность зловреда: пять основных (встроенных) модулей четко разделены и снабжены механизмом автообновления — оно производится сразу после проверки среды исполнения. Сразу после запуска в среде, куда он попал, бот собирает данные о зараженной машине (включая антивирусные средства и привилегии текущего пользователя), шифрует их по AES и передает на командный сервер вместе со скриншотом. На основании этой информации ему отдаются обновления и приказы.

После этого L0rdix приступает к заражению USB-накопителей: меняет атрибут файлов и папок на «скрытый» и оставляет свои копии, заимствуя имена и иконки. Чтобы обеспечить свое выживание и постоянное присутствие, зловред копирует себя в определенные конфигурацией места и для каждой копии создает запланированное задание.

Подписываемся, следим @CyberAgency

Related Post

Депутаты Мосгордумы «изобрели» преподавание кибербезопасности

Опубликовано - 15.02.2018 0
Депутаты Мосгордумы Надежда Перфилова и Лариса Картавцева предложили ввести уроки кибербезопасности в московских школах, сообщила «Вечерняя Москва». Агентство кибербезопасности это…

Авиаиндустрия потратила в 2018 году $3,9 млрд на кибербезопасность – это много или катастрофически мало?

Опубликовано - 29.11.2018 0
Все авиакомпании и аэропорты мира в 2018 году инвестировали в сферу кибербезопасности $3,9 млрд, сообщается в отчете SITA, швейцарской многонациональной…

«Лаборатория Касперского»: пришла осень, и хакеры обрушились на образовательные учреждения

Опубликовано - 01.11.2018 0
Специалисты «Лаборатории Касперского» выпустили отчет, из которого видно, что в третьем квартале 2018 года наибольшая доля DDoS-атак пришлась на сентябрь, когда…

Добавить комментарий