¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Cifrarlo todo

Закодировать всё

Otras ediciones de este tema (25)
  • añadir a favoritos
    Añadir a marcadores

¿Será BadRabbit peligroso de verdad?

Consultas: 772 Comentarios: 2 Ranking: 9

Miercoles, 25 de octubre de 2017 — es el día cuando los medios de comunicación informaron sobre la nueva epidemia del cifrador que atacó Rusia, Ucrania y Alemania. Vamos a ver qué es DPH:Trojan.Encoder.32 o Bad Rabbit.

Vamos a ver el método de su difusión. Los malintencionados hackearon varios sitios de noticias e implementaron JavaScript. En general, nada nuevo — como ya mencionamos varias veces, más de un 80% son vulnerables para ser hackeados. El código nocivo puede ser implementado en la página y en los scripts usados, y también cargado desde otro recurso en el momento de carga de la página hackeada. Hay muchas opciones.

Hemos advertido varias veces que el hackeo del sitio web consulado por un grupo objetivo puede ser un ataque muy eficaz. Sobre todo, si el código nocivo se publica en el momento de mayor popularidad del recurso, por ejemplo, por la tarde.

#drweb

http://blog.ptsecurity.ru/2017/09/web-apps-attacks-2017.html

Durante este ataque, al consultar el sitio web, al usuario se le ofrecía instalar una actualización para Flash Player. Así mismo, el usuario debe hacer clic sobre Install y así mismo iniciar el dropper.

Surgen varias preguntas a la vez.

  • Pregunta 1. ¿Qué hace el personal de las empresas infectadas (así mismo, los bancos) en los sitios web de noticias durante su jornada laboral? Se entiende que hay personal que debe enterarse de las últimas noticias para su trabajo, pero en este caso, ¿por qué sus equipos están en la red corporativa donde están los recursos críticos de la empresa?
  • Pregunta 2. ¿Por qué el usuario tienen derecho de instalar las nuevas aplicaciones?
  • Pregunta 3. ¿Por qué JavaScripts no están desactivados en el navegador?

Tres preguntas. Si no hubiera estas posibilidades, no se habría producido ninguna epidemia de Rabbit. DPH:Trojan.Encoder.32 no usaba ninguna vulnerabilidad para penetrar en el equipo — el usuario o hacía todo.

Recordamos que los programas troyanos (y DPH:Trojan.Encoder.32 es un troyano) no pueden difundirse de forma autónoma, los difunden los usuarios realizando varias acciones.

Según los datos disponibles, DPH:Trojan.Encoder.32 no usa ningún método de esquivar UAC. El usuario acepta el inicio de la nueva aplicación.

  • Pregunta 4. ¿Se usó UAC en las empresas víctimas o estaba desactivado?

DPH:Trojan.Encoder.32, una vez iniciado, comprueba si hay procesos dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe — es decir, si localiza Dr.Web, omite la primera etapa de cifrado, por lo visto, para evitar su propia detección anticipada. Además, DPH:Trojan.Encoder.32 intenta modificar MBR del disco duro. Esta operación se bloquea por el antivirus Dr.Web.

  • Pregunta 5. ¿Por qué los usuarios no tienen instalado el antivirus moderno que tiene mecanismos de protección preventiva y controla el funcionamiento de procesos iniciados y detecta los programas nocivos aún no analizados por el laboratorio antivirus? Los antivirus basados solo en un núcleo antivirus no protegen lo suficiente.

Luego DPH:Trojan.Encoder.32 intenta escanear la red en busca de recursos compartidos. No se usa ninguna vulnerabilidad, el troyano dispone del listado de contraseñas y nombres de usuario estándar.

  • Pregunta 6. La contraseña 12345678 no es una protección.

En esta edición no hemos descrito el nuevo troyano, la descripción ya está disponible. Solo hemos confirmado que se podía evitar la epidemia al tomar las medidas de precaución correspondientes.

El mundo de antivirus recomienda

Muchas veces los usuarios instalan un antivirus y lo olvidan y a veces lo desactivan. Pero su tarea es proteger.

  • El Antivirus debe ser actualizado con regularidad.
  • El Antivirus debe tener licencia actual.
  • El Antivirus no debe estar desactivado.
  • El Antivirus debe saber detectar los programas nocivos desconocidos.
  • El Antivirus debe usar la protección preventiva.
  • Las excepciones del escaneo son muy peligrosas.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios