троянські програми. Що таке "Троянський Кінь". І як його видалити вручну

Троянська програма- це програма, яку застосовують зловмисники для видобутку, знищення та зміни інформації, а також для створення збоїв у роботі пристрою.

Ця програма є шкідливою. Однак троян не є вірусом за способом проникнення на пристрій і за принципом дій, тому що не має здатності саморозмножуватися.

Назва програми «Троян» походить від словосполучення «троянський кінь». Як свідчить легенда, стародавні греки піднесли мешканцям Трої дерев'яного коня, у якому переховувалися воїни. Вночі вони вибралися і відчинили міські ворота грекам. Так і сучасна троянська програма несе у собі небезпеку та приховує справжні цілі розробника програми.

Троянську програму застосовують для того, щоби провести систему безпеки. Такі програми можуть запускатись вручну або автоматично. Це призводить до того, що система стає вразливою і до неї можуть отримати зловмисники. Для автоматичного запуску розробку привабливо називають або маскують під інші програми.

Часто вдаються і до інших способів. Наприклад, до вихідного коду вже написаної програми додають троянські функції та підміняють її з оригіналом. Наприклад, троян може бути замаскований під безкоштовну заставку для робочого столу. Тоді під час її встановлення підвантажуються приховані команди та програми. Це може відбуватися як за згодою користувача, так і без нього.

Існує багато різних троянських програм. Через це немає єдиного способу їх знищення. Хоча зараз практично будь-який антивірус вміє автоматично знайти та знищити троянські програми. У тому випадку, якщо антивірусна програма все ж таки не може виявити троян, допоможе завантаження операційної системи з альтернативного джерела. Це допоможе антивірусній програмі знайти і знищити троян. Не слід забувати про постійне оновлення бази даних антивірусу. Від регулярності оновлень безпосередньо залежить якість виявлення троянів. Найпростішим рішенням буде вручну знайти заражений файл і видалити його в безпечному режимі або повністю очистити каталог Temporary Internet Files.

Троянська програма, яка маскується під ігри, прикладні програми, настановні файли, картинки, документи, здатна досить непогано імітувати їхні завдання (а в деяких випадках взагалі повноцінно). Подібні маскуючі та небезпечні функції також застосовуються і в комп'ютерних вірусах, але вони, на відміну від троянів, можуть по собі поширюватися. Поряд із цим, троян може бути вірусним модулем.

Можна навіть не підозрювати, що троянська програма знаходиться на Вашому комп'ютері. Трояни можуть поєднуватися зі звичайними файлами. При запуску такого файлу або програми активується також і троянська програма. Траяни автоматично запускаються після ввімкнення комп'ютера. Це відбувається, коли вони прописані у Реєстрі.

Троянські програми розміщують на дисках, флешках, відкритих ресурсах, файлових серверах або надсилають за допомогою електронної пошти та сервісів для обміну повідомленнями. Ставка робиться на те, що їх запустять на певному ПК, особливо якщо комп'ютер є частиною мережі.
Будьте обережні, адже трояни можуть бути лише невеликою частиною великої багаторівневої атаки на систему, мережу чи окремі пристрої.

Троянська програма. (Також - троян, троянець, троянський кінь) - шкідлива програма, яка використовується зловмисником для збору інформації, її руйнування або модифікації, порушення працездатності комп'ютера або використання його ресурсів у непристойних цілях. Дія троянської програми може і не бути насправді шкідливою, але трояни заслужили свою погану славу за їх використання в інсталяції програм типу Backdoor. За принципом поширення та дії троян не є вірусом, тому що не здатний поширюватися саморозмноженням.

Троянська програма запускається користувачем вручну або автоматично – програмою або частиною операційної системи, що виконується на комп'ютері-жертві (як модуль або службова програма). Для цього файл програми (його назва, іконку програми) називають службовим ім'ям, маскують під іншу програму (наприклад, установки іншої програми), файл іншого типу або просто дають привабливу для запуску назву, іконку тощо. Простим прикладом трояна може бути програма waterfalls.scr, автор якого стверджує, що це безкоштовна екранна заставка. При запуску вона завантажує приховані програми, команди та скрипти з або без згоди та відома користувача. Троянські програми часто використовуються для обману систем захисту, у результаті система стає вразливою, дозволяючи таким чином неавторизований доступ до комп'ютера користувача.

Троянська програма може у тому чи іншою мірою імітувати (чи навіть повноцінно замінювати) завдання чи файл даних, під які вона маскується (програма установки, прикладна програма, гра, прикладний документ, картинка). У тому числі зловмисник може зібрати існуючу програму з додаванням до її вихідного коду троянські компоненти, а потім видавати за оригінал або підміняти його.

Подібні шкідливі та маскувальні функції також використовуються комп'ютерними вірусами, але на відміну від них, троянські програми не вміють поширюватися самостійно. Водночас троянська програма може бути модулем вірусу.

Етимологія

Назва «троянська програма» походить від назви «троянський кінь» - дерев'яний кінь, за легендою, подарований древніми греками жителям Трої, всередині якого ховалися воїни, котрі згодом відкрили завойовникам ворота міста. Така назва, перш за все, відображає скритність та потенційну підступність справжніх задумів розробника програми.

Розповсюдження

Троянські програми розміщуються зловмисником на відкриті ресурси (файл-сервери, відкриті для запису накопичувачі самого комп'ютера), носії інформації або надсилаються за допомогою служб обміну повідомленнями (наприклад, електронною поштою) з розрахунку на їх запуск на конкретному, що входить до певного кола або довільному цільовому комп'ютері.

Іноді використання троянів є лише частиною багатоступеневої спланованої атаки на певні комп'ютери, мережі або ресурси (у тому числі, треті).

Типи тіл троянських програм

Тіла троянських програм майже завжди розроблені для різних шкідливих цілей, але можуть бути нешкідливими. Вони розбиваються на категорії, засновані на тому, як трояни впроваджуються в систему та завдають їй шкоди. Існує 6 основних типів:

1. віддалений доступ;
2. знищення даних;
3. завантажувач;
4. сервер;
5. дезактиватор програм безпеки;
6. DoS-атаки.

Цілі

Метою троянської програми може бути:

* закачування та скачування файлів;
* Копіювання помилкових посилань, що ведуть на підроблені вебсайти, чати або інші сайти з реєстрацією;
* Створення перешкод роботі користувача (жартома або для досягнення інших цілей);
* викрадення даних, що становлять цінність або таємницю, у тому числі інформації для аутентифікації, для несанкціонованого доступу до ресурсів (у тому числі третіх систем), вивужування деталей щодо банківських рахунків, які можуть бути використані в злочинних цілях, криптографічної інформації (для шифрування та цифрової підписи);
* Шифрування файлів при кодовірусній атаці;
* Розповсюдження інших шкідливих програм, таких як віруси. Троян такого типу називається Dropper;
* вандалізм: знищення даних (прання або переписування даних на диску, пошкодження файлів, що важко помітні) і обладнання, виведення з ладу або відмови обслуговування комп'ютерних систем, мереж тощо, у тому числі в складі ботнета (організованої групи зомбованих комп'ютерів), наприклад Для організації DoS-атаки на цільовий комп'ютер (або сервер) одночасно з безлічі заражених комп'ютерів або розсилки спаму. Для цього іноді використовуються гібриди троянського коня та мережевого черв'яка - програми, що володіють здатністю до швидкісного поширення по комп'ютерних мережах і захоплюючі заражені комп'ютери в зомбі-мережу.;
* Збір адрес електронної пошти та використання їх для розсилки спаму;
* пряме управління комп'ютером (дозвіл віддаленого доступу до комп'ютера-жертви);
* шпигунство за користувачем та таємне повідомлення третім особам відомостей, таких як, наприклад, звичка відвідування сайтів;
* реєстрація натискань клавіш (Keylogger) з метою крадіжки інформації такого роду як паролі та номери кредитних карток;
* Отримання несанкціонованого (і/або дарового) доступу до ресурсів самого комп'ютера або третіх ресурсів, доступних через нього;
* Установка Backdoor;
* використання телефонного модему для здійснення дорогих дзвінків, що спричиняє значні суми в телефонних рахунках;
* Дезактивація або створення перешкод роботі антивірусних програм та файрвола.

Симптоми зараження трояном

* Поява в реєстрі автозапуску нових додатків;
* показ фальшивого закачування відеопрограм, ігор, порно-роликів та порносайтів, які ви не закачували та не відвідували;
* Створення знімків екрана;
* відкривання та закривання консолі CD-ROM;
* програвання звуків та/або зображень, демонстрація фотографій;
* перезапуск комп'ютера під час старту інфікованої програми;
* випадкове та/або безладне відключення комп'ютера.

Методи видалення

Оскільки трояни мають безліч видів і форм, немає єдиного методу їх видалення. Найпростішим рішенням є очищення папки Temporary Internet Files або знаходження шкідливого файлу та видалення його вручну (рекомендується Безпечний Режим). В принципі, антивірусні програми здатні виявляти та видаляти трояни автоматично. Якщо антивірус не здатний знайти троян, завантаження ОС з альтернативного джерела може дати можливість антивірусній програмі виявити троян і видалити його. Надзвичайно важливо для забезпечення більшої точності виявлення регулярне оновлення антивірусної бази даних.

Маскування

Багато троян можуть перебувати на комп'ютері користувача без його відома. Іноді трояни прописуються в Реєстрі, що призводить до їхнього автоматичного запуску під час старту Windows. Також трояни можуть комбінуватися із легітимними файлами. Коли користувач відкриває такий файл або запускає програму, троян запускається також.

Принцип дії трояна

Трояни зазвичай складаються з двох частин: Клієнт та Сервер. Сервер запускається на машині-жертві і слідкує за з'єднаннями від Клієнта, який використовується атакуючою стороною. Коли Сервер запущено, він відстежує порт або кілька портів у пошуку з'єднання від Клієнта. Для того, щоб атакуюча сторона приєдналася до Сервера, вона повинна знати IP-адресу машини, на якій запущено Сервер. Деякі трояни відправляють IP-адресу машини-жертви атакуючій стороні електронною поштою або іншим способом. Як тільки з Сервером відбулося з'єднання, Клієнт може відправляти на нього команди, які Сервер виконуватиме на машині-жертві. В даний час завдяки NAT-технології отримати доступ до більшості комп'ютерів через їхню зовнішню IP-адресу неможливо. І тепер багато троян з'єднуються з комп'ютером атакуючої сторони, який встановлений на прийом з'єднань, замість того, щоб атакуюча сторона сама намагалася з'єднатися з жертвою. Багато сучасних троян також можуть безперешкодно обходити файрволи на комп'ютері жертви.

Ця стаття знаходиться під ліцензією

Сьогодні у Всесвітньому павутинні можна зустріти стільки підводних рифів у вигляді вірусів, що й не порахувати. Звичайно, всі загрози класифікуються за методом проникнення в систему, що завдається шкоди та способів видалення. На жаль, одним із найнебезпечніших є вірус Trojan (або троян). Що таке ця загроза, ми спробуємо розглянути. Зрештою розберемося ще й у тому, як безпечно видалити цю гидоту з комп'ютера чи мобільного девайсу.

«Троян» – що таке?

Віруси-трояни являють собою типу, що самокопіюється, з власними або вбудовуваними в інші додатки виконуваними кодами, які несуть досить серйозну загрозу будь-якій комп'ютерній або мобільній системі.

Здебільшого найбільшу поразку зазнають системи Windows та Android. Донедавна вважалося, що такі віруси на UNIX-подібні «операційки» не діють. Проте буквально кілька тижнів тому вірусом були атаковані й "яблучні" мобільні гаджети. Вважається, що загрозу становить саме троян. Що таке цей вірус, ми зараз подивимося.

Аналогія з історією

Порівняння з історичними подіями є невипадковим. І перш ніж розбиратися, звернемося до безсмертного твору Гомера «Іліада», в якому описано взяття непокірної Трої. Як відомо, проникнути в місто звичайним способом або взяти його штурмом було неможливо, тому й було ухвалено рішення подарувати мешканцям величезного коня на знак примирення.

Як виявилося, всередині нього знаходилися воїни, які й відчинили міську браму, після чого Троя впала. Так само поводиться і програма-троян. Що найсумніше, поширюються такі віруси не спонтанно, як деякі інші загрози, а цілеспрямовано.

Як загроза проникає в систему

Найпоширенішим способом, який використовується для проникнення в комп'ютерну або мобільну систему, є маскування під якусь привабливу для користувача або навіть стандартну програму. У деяких випадках може спостерігатися вбудовування вірусом власних кодів у вже існуючі програми (найчастіше це системні служби або програми користувача).

Нарешті, шкідливі коди можуть проникати в комп'ютери та мережі у вигляді графічних зображень або навіть HTML-документів - або приходять у вкладеннях електронної пошти, або копіюються зі знімних носіїв.

При цьому, якщо код вбудовується в стандартну програму, воно все одно частково може виконувати свої функції, сам вірус активізується при запуску відповідної служби. Гірше, коли служба перебуває в автозавантаженні та стартує разом із системою.

Наслідки впливу

Що стосується впливу вірусу, він може частково викликати системні збої або порушення доступу до Інтернету. Але це його головна мета. Основним завданням трояна є крадіжка конфіденційних даних із метою їх використання третіми особами.

Тут вам і пін-коди банківських карток, і логіни з паролями для доступу до певних інтернет-ресурсів, і державні реєстраційні дані (номери та персональні ідентифікаційні номери тощо), загалом, все те, що не підлягає розголошенню, думку самого власника комп'ютера чи мобільного девайсу (звісно, ​​за умови, що такі дані там зберігаються).

На жаль, при крадіжці такої інформації передбачити, як її буде використано надалі, неможливо. З іншого боку, можна не дивуватися, якщо якось вам зателефонують із якогось банку і скажуть, що у вас є заборгованість за кредитом, або з банківської картки пропадуть усі гроші. І це лише квіточки.

у Windows

Тепер перейдемо до найголовнішого: як зробити це не так просто, як вважають деякі наївні користувачі. Звичайно, в деяких випадках можна знайти та знешкодити тіло вірусу, але оскільки, як уже говорилося вище, він здатний створювати власні копії, причому не одну і не дві, їх пошук та видалення можуть стати справжнім головним болем. При цьому ні файрволл, ні штатний антивірусний захист, якщо вірус вже був пропущений і впровадився в систему, не допоможуть.

У цьому випадку видалення трояна рекомендується проводити за допомогою портативних антивірусних утиліт, а у разі захоплення оперативної пам'яті – спеціальними програмами, що завантажуються перед стартом «операційки» з оптичного носія (диска) або USB-пристрою.

Серед портативних програм варто відзначити продукти на кшталт Dr. Web Cure It та Kaspersky Virus Removal Tool. З дискових програм максимально функціональною є Kaspersky Rescue Disc. Зрозуміло, що догмою їх використання не є. Сьогодні такого програмного забезпечення можна знайти скільки завгодно.

Як видалити троян з «Андроїда»

Що стосується Android-систем, тут не все так просто. Портативні програми для них не створені. В принципі, як варіант, можна спробувати підключити пристрій до комп'ютера і зробити сканування внутрішньої та зовнішньої пам'яті комп'ютерною утилітою. Але якщо подивитися на зворотний бік медалі, де гарантія, що при підключенні вірус не проникне вже й у комп'ютер?

У такій ситуації проблема, як видалити троян з «Андроїда», вирішується за допомогою встановлення відповідного програмного забезпечення, наприклад Google Market. Звичайно, тут стільки всього, що просто губишся в здогадах, що саме вибрати.

Але більшість експертів і фахівців у галузі захисту даних схиляються до думки, що найкращим є додаток 360 Security, який здатний не тільки виявляти загрози практично всіх відомих типів, але й забезпечувати комплексний захист мобільного девайсу надалі. Само собою зрозуміло, що воно постійно висітиме в оперативній пам'яті, створюючи додаткове навантаження, але, погодьтеся, безпека все-таки важливіша.

На що варто звернути увагу ще

Ось ми і розібралися з темою «Троян – що таке цей тип вірусу?». Окремо хочеться звернути увагу користувачів усіх систем без винятку ще кілька моментів. Насамперед перед відкриттям вкладень пошти завжди перевіряйте їх антивірусом. Під час встановлення програм уважно читайте пропозиції щодо інсталяції додаткових компонентів типу надбудов або панелей для браузера (вірус може бути замаскований і там). Не відвідуйте сумнівні веб-сайти, якщо бачите попередження антивірусної системи. Не використовуйте найпростіші безкоштовні антивіруси (краще встановити той самий пакет Eset Smart Security та активувати за допомогою безкоштовних ключів кожні 30 днів). Зрештою, зберігайте паролі, пін-коди, номери банківських карток і взагалі всю у зашифрованому вигляді виключно на знімних носіях. Тільки в цьому випадку можна бути хоча б частково впевненим у тому, що їх не вкрадуть або, що ще гірше, використовують у зловмисних цілях.

Думаю слід почати з назви та відповісти на запитання: "Пчому цей витвір назвали саме троянська програма (троян)?під час якої було споруджено дерев'яний кінь, іменований «троянським». Принцип дії цього коня був у «хитрій невинності», тобі прикинувшись подарунковою штучкою і опинившись у самій фортеці ворога, що сиділи в коні воїни, відкрили ворота Трої, давши можливість основним військам вломитися в фортецю.

Так само справи і в сучасному цифровому світі з троянською програмою. Відзначу відразу той факт, що «троян» не можна відносити до класу вірусів, тому що у нього відсутня принцип саморозмноження та суть його дії трохи інша. Та й поширюється він людиною, а чи не самостійно, як це роблять нормальні віруси. Трояни часто проналежать до класу шкідливого програмного забезпечення.

Так ось принцип діїтроянської програми (трояна), а також відкрити ворота вашого комп'ютера шахраю, наприклад, для крадіжки цінних паролів або для несанкціонованого доступу до ваших даних. Дуже часто, заражені «троянами» комп'ютери, без дозволу користувача беруть участь у масштабних DDos -атаки на сайти. Тобто, безневинноий користувач спокійною гуляє по інтернету, а в цей час його комп'ютер безпристрасно «кладе» якийсь урядовий сайт нескінченними зверненнями.

Найчастіше трояни маскуються під абсолютно невинні програми, просто копіюючи її іконку. Також трапляються випадки, коли код троянської програми вбудовується у звичайну, корисну софтинку, яка коректно виконує свої функції, але при цьому троян з-під неї і робить свої зловредства.

У наші дні дуже популярними стали зараженнявінлоками (trojan . winlock ), які виводять екран із подібним текстом: «Для розблокування вашої операційної системи надішлітьSMSна номер xxxx , інакше ваші дані будуть передані до служби безпеки». Знаходилося дуже багато користувачів, які відправляли це повідомлення (і не один раз), а шахраї у свою чергу отримували майже мільйони з величезної кількості ошуканих людей.

Як ви бачите застосування троянських програм розраховано отримання певної вигоди, на відміну звичайних вірусів, які просто завдають шкоди видаленням файлів і виводять систему з ладу. Можна дійти невтішного висновку, що це шкідливе програмне забезпечення, більш інтелектуально і тонко, за принципом своєї дії та результатів.

Як боротися із троянськими програмами?

Для боротьби з троянами необхідно мати антивірус, з базами виявлення, що постійно оновлюються. Але тут з'являється інша проблема, саме через свою скритність інформація про троян набагато гірше і пізніше доходить до розробників антивірусного ПЗ. Тому також бажано мати окремий фаєрвол (наприклад,Comodo Firewall), який, якщо і пропустить, то точно не випустить безконтрольну передачу даних з вашого комп'ютера шахраям.

Окремі категорії троянських програм завдають шкоди віддаленим комп'ютерам та мережам, не порушуючи працездатність зараженого комп'ютера (наприклад, троянські програми, розроблені для розподілених DoS-атак на віддалені ресурси мережі). Трояни відрізняються відсутністю механізму створення власних копій.

Деякі трояни здатні до автономного подолання захисту комп'ютерної системи з метою проникнення та зараження системи. У загальному випадку, троян потрапляє в систему разом з вірусом або черв'яком, внаслідок необачних дій користувача або активних дій зловмисника.

Більшість троянських програм призначено збору конфіденційної інформації. Їх завдання, найчастіше, полягає у виконанні дій, що дозволяють отримати доступ до даних, які не підлягають широкому розголосу. До таких даних належать паролі користувача, реєстраційні номери програм, відомості про банківські рахунки і т. д. Інші троянці створюються для заподіяння прямої шкоди комп'ютерній системі, приводячи її в непрацездатний стан.

Види троянських програм

Найбільш поширені такі види троянів:

• Клавіатурні шпигуни (Trojan-SPY)- трояни, які постійно перебувають у пам'яті і зберігають усі дані, що надходять від клавіатури з метою подальшої передачі цих даних зловмиснику. Зазвичай у такий спосіб зловмисник намагається дізнатися паролі чи іншу конфіденційну інформацію
• Викрадачі паролів (Trojan-PSW)- трояни, також призначені для отримання паролів, але не використовують спостереження за клавіатурою. Зазвичай у таких троянах реалізовані способи вилучення паролів із файлів, у яких ці паролі зберігаються різними додатками
• Утиліти віддаленого керування (Backdoor)- Трояни, що забезпечують повний віддалений контроль над комп'ютером користувача. Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при встановленні або мають документацію, в якій описані їх функції. Троянські утиліти віддаленого управління, навпаки, ніяк не видають свого реального призначення, тому користувач і не підозрює про те, що його комп'ютер підконтрольний зловмиснику. Найбільш популярна утиліта віддаленого керування - Back Orifice
• Анонімні smtp-сервера та проксі (Trojan-Proxy)- трояни, що виконують функції поштових серверів або проксі і використовуються в першому випадку для розсилок спам, а в другому для замітання слідів хакерами
• Модифікатори налаштувань браузера (Trojan-Cliker)- трояни, які змінюють стартову сторінку в браузері, сторінку пошуку або ще якісь налаштування для організації несанкціонованих звернень до інтернет-ресурсів
• Інсталятори інших шкідливих програм (Trojan-Dropper)- трояни, які дають можливість зловмиснику проводити приховане встановлення інших програм
• Завантажувачі шкідливих програм (Trojan Downloader)- трояни, призначені для завантаження на комп'ютер-жертву нових версій шкідливих програм або рекламних систем
• Повідомлення про успішну атаку (Trojan-Notifier)- трояни даного типу призначені для повідомлення свого "господаря" про заражений комп'ютер
• "Бомби" в архівах (ARCBomb)- трояни, що являють собою архіви, спеціально оформлені таким чином, щоб викликати позаштатну поведінку архіваторів при спробі розархівувати дані - зависання або суттєве уповільнення роботи комп'ютера, заповнення диска великою кількістю "порожніх" даних
• Логічні бомби- частіше не так трояни, як троянські складові черв'яків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних
• Утиліти додзвону- порівняно новий тип троянів, що є утилітами dial-up доступу в інтернет через платні поштові служби. Такі трояни прописуються в системі як утиліти дозвону за умовчанням і тягнуть за собою великі рахунки за користування інтернетом

Принцип дії троянських програм

Усі "Троянські коні" мають дві частини: клієнт та сервер. Клієнт здійснює управління серверною частиною програми за протоколом TCP/IP. Клієнт може мати графічний інтерфейс і містити набір команд для віддаленого адміністрування.

Серверна частина програми – встановлюється на комп'ютері жертви та не містить графічного інтерфейсу. Серверна частина призначена для обробки (виконання) команд від клієнтської частини та передачі даних, що запитуються, зловмиснику. Після потрапляння в систему та захоплення контролю, серверна частина трояна прослуховує певний порт, періодично перевіряючи з'єднання з інтернетом і якщо з'єднання активно, вона чекає на команди від клієнтської частини. Зловмисник за допомогою клієнта пінгує певний порт інфікованого вузла (комп'ютера жертви). Якщо серверна частина була встановлена, то вона відповість підтвердженням на пінг про готовність працювати, причому при підтвердженні серверна частина повідомить зломщику IP-адресу комп'ютера та його ім'я мережі, після чого з'єднання вважається встановленим. Як тільки з Сервером відбулося з'єднання, Клієнт може відправляти на нього команди, які Сервер виконуватиме на машині-жертві. Також багато троян з'єднуються з комп'ютером атакуючої сторони, який встановлений на прийом з'єднань, замість того, щоб атакуюча сторона сама намагалася з'єднатися з жертвою.

Відомі трояни

2019

Близько 90% спроб зараження банківськими троянами Buhtrap та RTM припали на Росію

Цей троян поки не виявляється антивірусами жодного постачальника програм безпеки. Він був поширений за допомогою серії експлойтів, заснованих на послідовностях команд центру управління, включаючи 8-у, найбільш вразливість, що експлуатується - ін'єкція команд в HTTP -заголовки. Дослідники Check Point розглядають Speakup як серйозну загрозу, оскільки його можна використовувати для завантаження та розповсюдження будь-яких шкідливих програм.

У січні перші чотири рядки рейтингу найактивніших шкідливих програм зайняли криптомайнери. Coinhive залишається головним шкідливим програмним забезпеченням, яке атакувало 12% організацій по всьому світу. XMRig знову став другим за поширеністю зловредом (8%), за яким пішов криптомайнер Cryptoloot (6%). Незважаючи на те, що в січневому звіті подано чотири криптомайнери, половина всіх шкідливих форм з першої десятки може використовуватися для завантаження додаткового шкідливого програмного забезпечення на заражені машини.

Найактивніше шкідливе ПЗ січня 2019:

(Стрілки показують зміну позиції порівняно з попереднім місяцем.)

• ↔ Coinhive (12%) - криптомайнер, призначений для онлайн-майнінгу криптовалюти Monero без відома користувача, коли він відвідує веб-сторінку. Вбудований JavaScript використовує велику кількість обчислювальних ресурсів комп'ютерів кінцевих користувачів для майнінгу та може призвести до збою системи.
• ↔ XMRig (8%) - Програмне забезпечення з відкритим вихідним кодом, вперше виявлене у травні 2017 року. Використовується для майнінгу криптовалюти Monero.
• Cryptoloot (6%) - криптомайнер, який використовує потужність ЦП або відеокарти жертви та інші ресурси для майнінгу криптовалюти, зловред додає транзакції в блокчейн і випускає нову валюту.

HeroRat - RAT-троян (Remote Administration Tool) для віддаленого керування скомпрометованими пристроями. Автори пропонують його в оренду за моделлю Malware-as-a-Service (шкідливе ПЗ як послуга). Доступні три комплектації (бронзова, срібна та золота), які відрізняються набором функцій та ціною - $25, $50 та $100 відповідно. Початковий код шкідливої ​​програми продається за $650. Передбачено відеоканал техпідтримки.

HeroRat шукає жертв через неофіційні магазини Android-додатків, соціальні мережі та месенджери. Атакуючі маскують троян під програми, що обіцяють біткоїни у подарунок, безкоштовний мобільний інтернет або накрутку передплатників у соцмережах. При цьому Google Play цієї загрози не виявлено. Більшість заражень зафіксовано в Ірані.

Коли користувач встановить та запустить шкідливу програму, на екрані з'явиться спливаюче вікно. У ньому повідомляється, що програма не може працювати на пристрої та буде видалена. В Eset спостерігали зразки з повідомленнями англійською та перською мовами (залежно від мовних налаштувань). Після видалення іконка програми зникне, а троян продовжить роботу потай від користувача.

Оператори HeroRat керують зараженими пристроями через Telegram за допомогою робота. Троян дозволяє перехоплювати та надсилати повідомлення, красти контакти, здійснювати дзвінки, записувати аудіо, робити скріншоти, визначати розташування пристрою та змінювати налаштування. Для керування функціями передбачені інтерактивні кнопки в інтерфейсі Telegram-бота – користувач отримує набір інструментів відповідно до обраної комплектації.

Передача команд та крадіжка даних із заражених пристроїв реалізована в рамках протоколу Telegram - цей захід дозволяє протидіяти виявленню трояна.

Антивірусні продукти Eset детектують загрозу як Android/Spy.Agent.AMS та Android/Agent.AQO.

Microsoft Security Intelligence Report

Як відрізнити фальшиві програми від справжніх

1. Офіційні програми будуть розповсюджуватися лише через Google Play; посилання на завантаження публікуються на сайтах самих банків. Якщо програми розміщені десь ще, це, найімовірніше, фальшивка.
2. Особливу увагу слід звертати на доменні імена, звідки пропонується завантажити програму. Зловмисники нерідко використовують домени, чиї назви схожі на офіційні, але відрізняються на один-два символи, або використовують домени другого рівня і нижче.
3. Смартфони забезпечені заходами захисту від найпоширеніших загроз, і якщо смартфон виводить повідомлення про те, що той чи інший додаток несе загрозу, його в жодному разі не варто встановлювати. У разі виявлення фальшивих банківських додатків про них рекомендується повідомляти служби безпеки банків. Цим користувачі вбережуть і себе, і інших від багатьох неприємностей.
4. Якщо ви помітили щось підозріле на сайті, з якого пропонується скачати програму, відразу ж повідомте про це службу безпеки банку або офіційну групу банку в соціальних мережах, не забувши додати скріншот.

Троянець-шифрувальник паралізував роботу цілого міста в США

Адміністрація округу Лікінг у штаті Огайо в лютому змушена була відключити свої сервери та системи телефонного зв'язку, щоб зупинити поширення троянця-шифрувальника.

Стало відомо, що більше тисячі комп'ютерів у США, що належать до мереж адміністрації одного з американських округів, заражені. Всі системи були відключені, щоб заблокувати подальше поширення зловреда, запобігти втраті даних та зберегти докази для розслідування.

Усі приймальні та адміністративні установи працюють, але робота з ними можлива лише за особистого візиту.

Розмір необхідного викупу представники адміністрації не називають; вони також відмовляються коментувати можливість виплати. За словами члена окружної комісії Лікінга Тіма Бабба (Tim Bubb), зараз ведуться консультації з експертами з кібербезпеки та правоохоронними органами.

Ручний режим

Відключення телефонних ліній та мережевих комунікацій означає, що всі служби округу, в роботі яких задіяні інформаційні технології, перейшли на "ручний режим". Це стосується навіть центру допомоги 911: телефони та рації рятувальників працюють, але доступу до комп'ютерів немає. Принаймні виклики поліції, пожежників та швидкої допомоги, як і раніше, приймаються, але, як висловився директор центру порятунку Шон Грейді (Sean Grady), робота служби в тому, що стосується швидкості обробки викликів, відкинута на чверть століття тому.

І позбавити коледж можливості повернути доступ до даних.

Відразу з'ясувалося, що відновити дані з резервних копій неможливо. Після наради із залученими експертами з безпеки, адміністрація коледжу дійшла висновку, що інших варіантів, крім як виплатити необхідну суму, у неї не залишилося.

28 тисяч доларів - це найбільший викуп, інформація про який потрапила до публічного простору. За деякими відомостями, трапляються й масштабніші виплати, але жертви - зазвичай це великі вважають за краще їх не афішувати. У 2016 році середня "ставка" з боку кіберздирників становила 679 доларів, роком раніше - 294 долари.

Більш ніж дворазове зростання, мабуть, пов'язане з кількістю інцидентів, що збільшилася, закінчилися виплатами викупу, причому в сумах, що значно перевищують "середню ставку". У лютому 2016 року Пресвітеріанський медичний центр у Голлівуді після атаки шифрувальником виплатив викуп у розмірі 17 тисяч доларів.