На связи в WhatsApp
8 (800) 707-26-48
Бесплатный звонок из регионов

Троянец из спам-рассылки ворует пароли от почтовых аккаунтов

Главная / Архив новостей / Троянский "пони" крадёт пароли от почтовых ящиков, шифрует документы и вымогает биткоины
Троянский "пони" крадёт пароли от почтовых ящиков, шифрует документы и вымогает биткоины

Подробный анализ работы вируса-шифровальщика RAA опубликован ИБ-экспертами «ЛК». Это один из немногих вирусов-шифровальщиков полностью написанных на языке программирования JavaScript. Злоумышленники распространяют RAA посредством спам-рассылки, в которую вложен заражённый документ MS Word. После запуска вредоносный код шифрует все файлы документов, какие найдёт на дисках, и начинает вымогать за их восстановление биткойны в эквиваленте приблизительно $250.

Однако на этом деструктивные действия мошеннического ПО не заканчиваются. Как сообщают специалисты в шифровальщике RAA присутствует троянский Pony, задача которого состоит в краже с заражённого компьютера конфиденциальной информации. Будучи запущенным он сканирует и в случае успеха похищает:

  • сохранённые пароли из браузеров;
  • сохранённые логины и пароли из настроек популярных FTP-клиентов;
  • настройки, включая пароли, популярных почтовых клиентов;
  • данные электронных кошельков;
  • личные SSL-сертификаты;

Собранная информация шифруется алгоритмом RC4 и отправляется на управляющий сервер злоумышленников. На каждом этапе RAA вычисляет контрольные суммы полученных данных:

  1. Производится расчёт контрольной суммы CRC незашифрованных данных
  2. К похищенным данным добавляется полученное значение CRC
  3. Похищенные данные шифруются по алгоритму RC4 с фиксированным ключом
  4. Производится расчёт CRC зашифрованных данных
  5. Рассчитанное значение добавляется к похищенным данным
  6. Генерируется случайный ключ длиной 4096 бит
  7. Похищенные данные шифруются по алгоритму RC4 с использованием сгенерированного ключа
  8. Готовые к отправке данные формируются и отправляются злоумышленникам

Таким образом, пара шифровальщик-троянец RAA-Pony представляет угрозу не только файлам документов, размещённых на дисках локального компьютера, но и сохранённым паролям почтовых и FTP-клиентов, в случае хищения которых у злоумышленников появляется возможность осуществить, например, взлом и рассылку спама с корпоративной почты или произвести дефейс сайта и разместить на нём вредоносным код.


При перепубликации статьи установка активной индексируемой гиперссылки на источник — сайт обязательна!

2208 просмотров

2016-09-16

2209


Троянский "пони" крадёт пароли от почтовых ящиков, шифрует документы и вымогает биткоины
2013-06-12

3016


Для закрытия сайтов Ru-center в решении суда не нуждается - регистратор разделегирует домены по своему желанию
2018-11-07

1646


Вирус Emotet собирает письма пользователей Microsoft Outlook, чтобы сделать спам убедительнее
2015-06-11

2542


"Нигерийский" спам - бабушка из Саранска отправила 3 млн. руб. в Бенин
2012-11-07

2663


Отчёт за 3 квартал 2012 года по количеству спама в почте: спама стала чуть меньше, но он стал опаснее
2012-01-16

2724


DrWeb: отчёт о распространении вирусов за 2011 год. Выросла популярность программ-вымогателей и вирусов для Android
2020-09-11

791


Ботнет Emotet вновь в строю и атакует пользователей электронной почты
2016-11-21

2599


ЛК обнаружила спам и вирусы в 66% электронных писем. Мошенники всё чаще максируют вредоносные письма под уведомления от банков и интернет-магазинов