Приведи друга и получи до месяца обслуживания бесплатно!
При покупке компьютера, планшета, ноутбука - Office 365 на 3 месяца бесплатно.
При одновременном заключении договора на проект ЗПДн и абонементное обслуживание, скидка на проект 15%
Получи 30% скидки на обучение в летний период. *Скидка действует при заказе от 3 занятий
При миграции с любого антивируса на антивирус dr.Web, дарим дополнительную скидку.
Антивирус с помесячной оплатой. Возможность добавлять или удалять лицензии. Касперский или Есет Нод32 - выбираете Вы!
 
 
  •  
  •  
  •  
  •  
  •  
  •  
  •  

 

 

 

ООО "Линия Безопасности"

Республика Коми, г.Сыктывкар
ул. Первомайская, 70, оф. 448

телефон(8212) 245-000

25-09-82, 25-09-83
факс: 44-55-62

НовостиБольше
15.06.18
Не спешит с Cascade Lake-X, но выпустит 22-ядерный процессор
14.06.18
Новая защита от финансового онлайн-мошенничества
13.06.18
Чемпионат мира по футболу. Прогнозы первенства
09.06.18
Образование с технологиями виртуальной реальности
08.06.18
Имитация нажатия. Троян обходит защиту браузера
07.06.18
Каким рискам подвергаются школьники в социальных сетях
06.06.18
Всемирный фишинг. Атака на пользователей Airbnb
05.06.18
Возвращение легенды: обновление IntelliMouse
04.06.18
Хакеры меняют тактику. Turla на платформе Metasploit
01.06.18
Киберпреступник заработал миллионы на игровой платформе

Новости

Главная Новости
« Назад

ESET 09.02.2018 15:37

1

 

ESET представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex. 



Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка Dridex продолжается – еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия Dridex с поддержкой техники инжекта Atom Bombing, позднее – с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия Dridex 4.80 датирована 14 декабря 2017 года.



Шифратор FriedEx привлек внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путем RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4. 



В декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу – два семейства вредоносных программ созданы одними и теми же авторами. 



Так, во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx. 



Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах одной кодовой базы или статической библиотеки.



Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге. 



Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках – всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта. 



Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вредоносных программ, включая QBot, Emotet и Ursnif.



Помимо очевидного сходства с Dridex, специалисты ESET обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx. 



По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили «портфолио» шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.


 
 
Rambler's Top100

partner.gif

logo_w

Аутсорсинг IT в г. Сыктывкаре. Поставка лицензионного программного обеспечения (ПО) в Республике Коми. Поставка и обслуживание компьютеров в г. Сыктывкаре. Администрирование серверов Microsoft.  Антивирусная защита. Сервис. Резервное копирование ценных данных. Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации 2888 от 17 мая 2016 года. Приведение систем защиты персональных данных (ПДн) в соответствие с законом 152-ФЗ. Защита информации. Консультирование. Создание сайтов.

ООО "Линия Безопасности"
Адрес: Республика Коми, г. Сыктывкар
ул. Первомайская, 70, офис 448

Моб.: +79634880982
Раб.: +7 (8212) 245-000
 

e-mail: info@seculine.ru
http://www.seculine.ru
Вступайте в нашу группу Vk