Si utilizza un browser obsoleto!
La pagina può visualizzarsi in modo non corretto.
31 maggio 2017
L'evento più significativo a maggio 2017 è stata la distribuzione di massa del programma malevolo WannaCry, rilevato da Antivirus Dr.Web come Trojan.Encoder.11432. Questo worm si diffondeva in autonomo infettando nodi di rete con utilizzo di una vulnerabilità nel protocollo SMB. Quindi criptava file sul computer della sua vittima e chiedeva il riscatto per la decriptazione. Inoltre, a maggio gli specialisti Doctor Web hanno esaminato un complesso trojan multicomponente per Linux, scritto in Lua. Inoltre, è stato rilevato un nuovo backdoor che minacciava gli utenti di macOS.
Molti mass media raccontavano di un programma malevolo che è diventato noto sotto il nome di WannaCry. Questa applicazione malevola è un worm di rete che è in grado di infettare i computer SO Microsoft Windows. Il worm ha iniziato a diffondersi circa alle 10 di mattina il 12 maggio 2017. Come il payload il worm porta in sé un trojan cryptolocker. L'antivirus Dr.Web rileva tutti i componenti del worm utilizzando il nome Trojan.Encoder.11432.
Ad avvio il worm si registra come un servizio di sistema e comincia a interrogare nodi di rete nella rete locale e in Internet con indirizzi IP casuali. Se ha potuto stabilire una connessione, il worm tenta di infettare questi computer. In caso dell'infettazione riuscita, il worm avvia il trojan cryptolocker che cifra i file sul computer utilizzando una chiave casuale. Nel corso del funzionamento Trojan.Encoder.11432 elimina le copie shadow e disattiva la funzione di ripristino del sistema. Il trojan crea una lista separata di file che vengono cifrati con utilizzo di un'altra chiave: il malware può decriptare questi file gratis per la sua vittima. In quanto questi file di test e tutti gli altri file sul computer vengono cifrati tramite chiavi diverse, non c'è nessuna garanzia di una decriptazione di file riuscita anche se venisse pagato il riscatto ai malintenzionati. Le maggiori informazioni su questo trojan possono essere trovate in un articolo e inoltre nella descrizione tecnica dettagliata del worm.
A maggio al servizio di supporto tecnico Doctor Web il più spesso si rivolgevano gli utenti le cui informazioni sono state cifrate dalle seguenti versioni dei trojan cryptolocker:
Queste funzioni non sono disponibili nella licenza "Antivirus Dr.Web per Windows".
Prevenzione della perdita di dati | |
---|---|
A maggio 2017, 1.129.277 indirizzi Internet sono stati aggiunti al database dei siti malevoli e sconsigliati.
Aprile 2017 | Maggio 2017 | La dinamica |
---|---|---|
+ 568,903 | + 1,129,277 | + 98.5% |
All'inizio di maggio è stato rilevato un trojan che si propagava attraverso dei link nei commenti che i malfattori lasciavano nel gruppo ufficiale Doctor Web nel social network "VKontakte". Nei loro messaggi i criminali informatici offrivano di scaricare chiavi gratuite per l'antivirus Dr.Web, ma in realtà utilizzando il link la vittima prendeva un trojan classificato come Trojan.MulDrop7.26387.
Questo programma malevolo può eseguire diversi comandi dei malintenzionati: per esempio cambiare gli sfondi del Desktop di Windows, aprire e chiudere il vassoio dell'unità ottica, cambiare di posto le funzioni dei tasti del mouse, riprodurre attraverso altoparlanti una determinata frase, utilizzando il sintetizzatore vocale, o persino mostrare sullo schermo del computer filmati spaventanti. Maggiori informazioni su questo incidente informatico sono state pubblicate in un articolo sul nostro sito.
A maggio gli analisti dei virus Doctor Web hanno studiato un trojan multicomponente per SO Linux scritto nel linguaggio Lua. Questo programma malevolo, denominato Linux.LuaBot, è costituito di 31 script Lua e può infettare non soltanto computer, ma anche diversi dispositivi "intelligenti": archiviazioni collegate alla rete, router, set-top box, telecamere IP ecc. Il trojan genera una lista di indirizzi IP da attaccare e quindi tenta di connettersi con dispositivi remoti secondo la lista creata e di autenticarsi tramite la selezione di login e password a dizionario. Riuscito a farlo, carica sul dispositivo infetto una sua copia e la esegue.
Questo trojan effettivamente è un backdoor – ovvero è in grado di eseguire comandi provenienti dai malintenzionati. Inoltre, avvia sul dispositivo infetto un server web che consente ai malintenzionati di scaricare e caricare diversi file. Gli analisti dei virus Doctor Web hanno raccolto statistiche di indirizzi IP unici dei dispositivi infettati da Linux.LuaBot — sono presentate nella figura seguente.
Maggiori informazioni su questo trojan multicomponente possono essere ottenute leggendo la nostra notizia o la descrizione tecnica dettagliata del programma malevolo.
L'ultimo mese di primavera del 2017 è stato segnato dalla diffusione di un backdoor per macOS. Il trojan è stato aggiunto ai database dei virus Dr.Web sotto il nome Mac.BackDoor.Systemd.1. Il backdoor può eseguire i seguenti comandi:
Maggiori informazioni su questo programma malevolo possono sono riportate in un articolo sul nostro sito.
In May, Android.RemoteCode.28 was detected on Google Play. It downloaded other programs and shared information with the command and control server. Applications that conceal Android.Spy.308.origin were also detected in the catalog. This Trojan downloaded and ran additional program modules and displayed ads. This past month, cybercriminals distributed Android.BankBot.186.origin as MMS messages. This banking Trojan stole money from user accounts.
A maggio in Google Play è stato rilevato un trojan, Android.RemoteCode.28, che scaricava altri programmi e trasmetteva sul suo server di gestione informazioni confidenziali. Inoltre, in Google Play sono state rilevate applicazioni che nascondevano dentro di sé il trojan Android.Spy.308.origin. Lui scaricava e avviava moduli software addizionali e inoltre visualizzava pubblicità. Il mese passato gli autori dei virus, sotto l'apparenza di messaggi MMS, distribuivano il trojan bancario Android.BankBot.186.origin che rubava soldi dai conti degli utenti.
Gli eventi più notevoli relativi alla sicurezza "mobile" a maggio:
Per maggiori informazioni circa le minacce ai dispositivi mobili a maggio, consultate la nostra panoramica specifica.