Лаборатория Касперского обнаружила хитрый вирус (4 фото)

Вредоносное ПО под названием Rakhni Trojan, впервые обнаруженное в 2013 году, развился в течение пяти лет и теперь решение о выборе механизма нанесения вреда зависит от конфигурации компьютера жертвы.

Судя по статистике пострадавших пользователей, вирус распространяется по электронной почте в России, Казахстане, Украине, Германии и Индии. На e-mail приходят фишинговые письма с поддельными финансовыми документами в .pdf-формате. При загрузке выдаётся сообщение об ошибке открытия файла, далее зловред сканирует компьютер и по возможности отключает встроенный «Защитник Windows», устанавливает корневой сертификат, который хранится в его ресурсах, и, выбрав тип деятельности (организовать скрытый майнинг, зашифровать файлы с целью потребовать выкуп или запустить компонент-червь, чтобы паразитировать другие ПК локальной сети) активирует свою активность.


Итак, после загрузки на компьютер вредоносное ПО ищет наличие кошелька с криптовалютами. Если найдена папка данных Bitcoin или% AppData%\Bitcoin, он загружает модуль криптографии и шифрует файлы, за доступ к которым потом требует выкуп.

Если такая папка не найдена и у компьютера два и более логических процессоров, загружается модуль майнера для разработки Monero или Dashcoin. Если на устройстве только один логический процессор, то загружается червь и вирус распространяется по другим компьютерам в локальной сети.

Источник: securelist.ru