Вирусы от террористов АЗОВ

Аватар пользователя Longest

Эксперты обнаружили новый вайпер (wiper, от английского to wipe — «стирать», «вытирать») Azov Ransomware, который активно распространяется через пиратское ПО, кейгены и бандлы с adware. Этот вредонос пытается подставить известных ИБ-исследователей, утверждая, что они его создали и стоят за атаками. Судя по всему, вредонос назван в честь полка «Азов», который запрещен в России и признан террористической организацией.

О появлении Azov Ransomware рассказал основатель издания Bleeping Computer и ИБ-исследователь Лоуренс Абрамс (Lawrence Abrams). Он пишет, что в записке с требованием выкупа (RESTORE_FILES.txt) злоумышленники утверждают, будто вредонос создан ИБ-экспертом, известным под псевдонимом Hasherazade. Для восстановления файлов жертвам и вовсе предлагают связаться с другими  известными специалистами через Twitter: Лоуренсом Абрамсом, изданием Bleeping Computer, Hasherazade, MalwareHunterTeam, Майклом Гиллеспи или Виталием Кремезом.

Также в своем послании злоумышленники сообщают, что Azov создан в знак протеста против присоединения Крыма к России, а также потому что западные страны недостаточно поддерживают Украину в связи с российской специальной военной операцией. При этом Bleeping Computer известно как минимум об одной украинской организации, атакованной этом вредоносом.

Увы, никаких реальных способов связи с операторами шифровальщика в записке не приводится. Абрамс резюмирует, что из-за отсутствия возможности связаться со злоумышленниками для оплаты выкупа, это вредоносное ПО следует рассматривать как умышленно деструктивный вайпер, а не как программу-вымогатель.

Так как жертвы уже начали обращаться к Bleeping Computer за помощью в восстановлении файлов, Абрамс подчеркивает, что пока ему и другим экспертам, к сожалению, неизвестен способ  восстановления данных, и они ничем не могут помочь.

По информации издания, Azov начал распространяться в сети около двух недель назад, и похоже, что первые установки хакеры получили через ботнет SmokeLoader, попросту заплатив за распространение вайпера операторам ботнета.

Напомню, что SmokeLoader — это ботнет, который другие злоумышленники могут арендовать или купить у его операторов «установки» для распространения собственного вредоносного ПО на зараженных устройствах. SmokeLoader обычно распространяется через сайты с фейковыми кряками, кейгенами, модами или читами для игры.

Bleeping Computer пишет, что в последние недели SmokeLoader распространяет Azov Ransomware наряду с другими вредоносными программами, включая RedLine Stealer и вымогателем STOP. Причем изданию известно о случаях двойного шифрования файлов пользователей: сначала с помощью Azov, а затем с помощью STOP, поскольку SmokeLoader доставлял их в системы жертв одновременно.

После проникновения в систему вымогатель будет помещен во временную папку Windows (%Temp%) как случайный файл и запущен. После запуска вайпер скопирует файл C:\Windows\System32\msiexec.exe в C:\ProgramData\rdpclient.exe и исправит его, чтобы он также содержал Azov Ransomware. Кроме того, вредонос может быть настроен на запуск при каждом запуске Windows (через внесение изменений в реестр).

После этого вайпер просканирует все диски и зашифрует любой файл, за исключением расширений .ini , .dll и .exe. При шифровании к именам файлов добавляется расширение .azov, и во всех папках появится файл RESTORE_FILES.txt, содержащий послание хакеров.

Нужно сказать, что это далеко не первый случай, когда злоумышленники пытаются создать проблемы ИБ-экспертам, приписывая им авторство какой-либо малвари или возлагая на них ответственность за кибератаки. Например, в 2016 году операторы вымогателя Apocalypse переименовали своего вредоноса в Fabiansomware, «в честь» исследователя Фабиана Восара, который мешал хакерам «работать». В другом случае, в 2020 году, создатели шифровальщика MBRLocker использовали в вымогательских записках имя ИБ-эксперта Виталия Кремеза.

Авторство: 
Копия чужих материалов

Комментарии

Аватар пользователя Маргадон
Маргадон(8 лет 4 месяца)

Зловред без кода - несчитово

Аватар пользователя lord
lord(4 года 3 недели)

сразу вспомнился анекдот про молдавский вирус.

---

Здравствуйте, я - молдавский вирус. В виду бедности моего
создателя и общей отсталости развития высоких технологий
нашей страны, я не в силах причинить какой-либо вред вашему
компьютеру. Пожалуйста, сотрите сами несколько самых нужных
вам файлов, а затем разошлите меня по почте своим друзьям.
Благодарю за понимание и сотрудничество.

Аватар пользователя sherr_khann
sherr_khann(3 года 9 месяцев)

"Мелко, Хоботов!" (с) "Покровские Ворота"

Аватар пользователя kaiter
kaiter(3 года 11 месяцев)

Это было бы реально круто, если после подобного идейного оформления, этот Азiв ( жаль что дегенератам удалось очередное руское слово испоганить смысловым дерьмонаполнением), снёс как можно больше инфы у "западных" пользователей.

Свинопротест бы был засчитан.

Аватар пользователя guss
guss(3 года 6 месяцев)

Так теперь в Киеве ни черта не напрогромируешь , обзвоны накрылись , этих воров и мародеров  виртуальности нужно мотать скотчем к раскаленному серверу нехай коптятся а не Аз!вом прикрываются.

Аватар пользователя Аристарх
Аристарх(4 года 10 месяцев)

на выходных смотрел наших блогеров,из куявы единицы в чат рулетку выходят(или врут что из куиева) ,видимо нормально им гераней  насыпали!

Аватар пользователя KAP13
KAP13(8 лет 7 месяцев)

Не  смотря на то что в тексте от вируса четко упоминается Польша и "польский эксперт" - в тексте статьи об этом деликатно умалчивается. Хотя связь нужно делать именно такую:  вирус - польша - азов - террористы

Аватар пользователя Barmalley
Barmalley(12 лет 9 месяцев)

Хм, да, занятно ,был опыт выковыривания подобной хрени из системы. Принесли ноут, там explorer.exe ,подменен был, но тот без шифрования , не помню чего он там вообще хотел,но штука неприятная .

Аватар пользователя Аристарх
Аристарх(4 года 10 месяцев)

я подобную тему с флешки ловил,благо не рабочий ноут был,систему переустановил и усё!Но этому шантажисту на мыло послание накатал,на богатом русском мате 

Аватар пользователя zhevak
zhevak(4 года 3 месяца)

--Доктор, где вы эти картинки вирусы-то берёте?

 

ЗЫ

Лет 15 сижу под Линуксом. Последние лет десять -- в основном в Debian. Но я не про Линукс и Виндовс!

Я про то, что обнаружил, что последние полгода я всё больше и больше времени провожу в разработках софта (и электроники) под AstraLinux, а не в Debian.

Это произошёл перелом (на отечественный софт) или это временное явление?

Хм. Интересно. Надо понаблюдать.

 

Аватар пользователя shoork
shoork(8 лет 1 месяц)

14 лет. та же фигня.

Аватар пользователя user3120
user3120(9 лет 2 месяца)

Без лога и простейшей идентификации с вирустотал(скриншота с вирустотал) - не считается.

Только идиот запустит кейген или другой эксзешник не закинув на вирустотал. Открывать чужие флешки смартфоны HDD без актуального антивируса или без отключения авто запуска - так себе безопасность.

Реагируют ли офлайн антивирусы реального времени на компьютере(под винду) на вирус?

ИМХО представляют проблему дыры винды и дыры каких браузеров. к примеру.

По всем важным данным надо иметь бэкап.

Аватар пользователя sherr_khann
sherr_khann(3 года 9 месяцев)

У знакомого, для кейгенов была заготовлена виртуалка. После генерации ключа, она удалялась, а из бэкапа подымалась новая.
Правда теперь всё стало сложнее - теперь отламывают сам софт и далеко не всегда удачно.

Аватар пользователя Remchik
Remchik(12 лет 9 месяцев)

Я на Линуксе - мне пофиг :)

P.S. Российский, причем - Rosa Fresh 12.3

Аватар пользователя AnGeL_Knight
AnGeL_Knight(9 лет 1 месяц)

А этот вирус под вайном запускается?

Аватар пользователя Fandaal
Fandaal(10 лет 3 дня)

Всё данные бэкапятся каждый день, так что не смертельно, только муторно восстанавливать.

Недавно пришлось восстанавливать почти 2 ТБ, правда не по причине вируса.