Dabar populiaru
Publikuota: 2017 kovo 10d. 10:45

Naujas bjaurus virusas neatstatomai naikina duomenis

Negrįžtamas duomenų naikinimas
123RF.com nuotr. / Negrįžtamas duomenų naikinimas

Artimųjų Rytų ir Europos bendrovės buvo užpultos naujo sudėtingo viruso, neatstatomai naikinančio visus duomenis užkrėstame kompiuteryje. Visai neseniai aptikta programa naikintoja „StoneDrill“ ne tik neatkuriamai pašalina duomenis iš įrenginio, bet ir šnipinėja aukas bei apdairiai vengia pakliūti į programinės apsaugos įrangos radarus, rašoma bendrovės „Kaspersky Lab“ pranešime spaudai.

„StoneDrill“ labai primena prieš penkerius metus pagarsėjusią analogišką programą „Shamoon“ (taip pat žinomą kaip „Disttrack“) – 2012 m. šis virusas paralyžiavo Artimųjų Rytų naftos ir dujų bendrovių 35 tūkst. kompiuterių darbą ir smogė didelei pasaulio naftos gavybos pramonės daliai. Po šio garsaus atvejo grupuotė, sukūrusi „Shamoon“, pasitraukė į šešėlį. Tačiau 2016 m. pabaigoje ji, panašu, grįžo, ir šį grįžimą tiriantys „Kaspersky Lab“ ekspertai rado naują žaidėją su nauju sudėtingu virusu ir gerokai didesniais tikslais.

Aptikti „StoneDrill“ pavyko taikant tikslinių išpuolių aptikimo taisykles („Yara“ taisykles), sukurtas siekiant nustatyti nežinomus „Shamoon“ variantus. Ir nors „StoneDrill“ sukurtas „Shamoon“ stiliumi, tarp abiejų programų yra didžiulis skirtumas.

Tyrėjai iki šiol nežino, kaip plinta šis virusas, bet tam, kad liktų nepastebėtas užkrėstame įrenginyje, jis taiko dvi sudėtingas antiemuliacines technikas, kurios neleidžia jo aptikti pagal elgesį. Kai tik „StoneDrill“ programa pakliūna į kompiuterį, ji įsidiegia į tos naršyklės, kuria įrenginyje naudojamasi dažniausiai, atmintį. Vos įsidiegęs virusas pradeda naikinti kietojo disko failus.

Be informaciją naikinančio modulio, „StoneDrill“ taip pat turi aukų šnipinėjimo komponentą – „Kaspersky Lab“ ekspertai aptiko keturis valdymo serverius, per kuriuos sukčiai sekė užkrėstus įrenginius.

„Mes labai domimės tais panašumais, kuriuos aptikome tarp įvairių kenkėjiškų operacijų. Išnagrinėję dviejų programų kodus, matome, kad „Shamoon“ yra Jemeno arabų kalbos variantas, o „StoneDrill“ daugiau vartojama persų kalba. Geopolitikai galėtų įsivaizduoti, kad operacijas vykdo Irano ir Jemeno žaidėjai, siekiantys sukelti nuostolį Saudo Arabijos bendrovėms, kur ir buvo aptikta dauguma „StoneDrill“ ir „Shamoon“ išpuolių aukų. Tačiau neverta atmesti galimybės, kad visi kalbos požymiai kode palikti tyčia – nukreipti ekspertus neteisingu keliu. Be to, aptiktas „StoneDrill“ Europoje liudija, kad grupuotė domisi ne tik Artimųjų Rytų regionu. Nors užpulta Europos bendrovė dirba naftos srityje, ji neturi jokių ryšių su naftos verslu Artimuosiuose Rytuose, – pasakoja Muchamadas Aminas Chasbini, „Kaspersky Lab“ tyrimo centro vyriausiasis antivirusų ekspertas.

Pažymėkite klaidą tekste pele, prispaudę kairijį pelės klavišą
Pranešti klaidą

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Žiemos olimpinės žaidynės

Parašykite atsiliepimą apie Mokslas.IT