Вирус подменяет номер криптовалютного кошелька на свой в буфере обмена.
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Похожий контент
От Chopa03
Здравствуйте, поймал по дурости вирус, который тормозил систему и не давал установить антивирусы, удалил с помощью загрузочной флешки касперского, но антивирусы так и не устанавливаются, логи с FRST64 прилагаю, заранее спасибо!
Addition.txt FRST.txt
От Pil_Pul
Обнаружил майнер, Появился администратор с именем John
Просканировал программой FRSTx64
логи прикрепил
Помогите, что дальше делать?FRST.txtAddition.txt
От Azv300ng Andrey
Вирус Trojan:Win32/Wacatak B!ml по пути file :E setup.exe хотя на компьютере такого диска нкту, пробовал проверять компьютер разными анти-вирусами, но не помогло, пожалуйста, помогите решить проблему.
От Антон122
Вообщем поймал вирус и не могу удалить его. После того как удаляю у меня из неоткуда открывается самораспоковывающиеся архив и загружает всё заново. Архив этот находил и удалял, он всё равно появляется. Процесс в диспетчере задач не как не отображается. Помогите пожалуйста с этой проблемой.
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела «Компьютерная помощь».
От BurundukTat
Добрый день. Опять словил майнера, на этот раз не дает ничего сделать (открыть ваш сайт, выключает браузер если искать «как удалить майнера»).
помогите, пожалуйста��
CollectionLog-2024.01.13-09.32.zip
Новый вирус Erbium, который крадет деньги с вашей банковской карты и криптовалюту, быстро распространяется по интернету
В интернете появилось опасное вредоносное ПО под названием Erbium. Это инструмент для кражи личных данных, который нацелен на ваши пароли, данные банковских карт, куки, криптовалютные кошельки и, возможно, многое другое. Из-за быстрого распространения и широкой доступности в будущем он может быть адаптирован для заражения компьютеров новыми способами и похищения других данных.
Зловред в основном распространяют через пиратские игры и читы/кряки для игр. Вредоносное ПО выдает себя за взломанные программы или игры, и люди сами скачивают его через бесплатный файлообменник, например, торрент. Также его распространяют через целевой фишинг, ссылки в имейлах, вредоносную рекламу, наборы эксплойтов и даже сами загрузчики вредоносных программ. Вариантов его проникновения на компьютер уже тысячи. Одной из причин быстрого распространения зловреда является то, что Erbium — это так называемое «вредоносное ПО как услуга» (MaaS), то есть по сути любой может начать рассылать вирус, платя его разработчикам по подписке.
В этом ещё одна особенность вредоноса — у него даже есть реферальная система и служба поддержки клиентов, отвечающая на вопросы юных и не очень хакеров. Подписка, открывающая доступ к панели управления малварью, изначально стоила всего 9 долларов в неделю (точнее, 500 рублей). Но ее растущая популярность привела к тому, что цена выросла до 100 долларов в месяц.
Бизнес построен на массовости, и там даже есть скидка, позволяющая подписаться на целый год за 1000 долларов. Это намного дешевле, чем «подписка» на другие похожие вирусы, вроде RedLine, что способствует быстрому распространению этого эксплойта. За деньги подписчики Erbium получают обновления, поддержку клиентов и вредоносное ПО с полным набором инструментов. За счет обилия функций, низких цен и «клиентоориентированности» — гадость быстро набирает популярность в хакерском сообществе.
Стоит ли бояться?
Первоначально зловред был обнаружен на форумах в дарк вебе компанией Cyfirma, занимающейся поиском угроз и киберразведкой. По ее словам, Erbium впервые был выложен русскоязычным пользователем в конце июля и уже тогда умел собирать данные большинства современных популярных браузеров, получая пароли, файлы cookie и информации о кредитных картах. По словам создателей, они разрабатывали Erbium несколько месяцев. За прошедшее с момента релиза время зловред получил несколько обновлений и стал более опасным.
В дальнейшем код малваря также глубоко проанализировала DuskRise, занимающаяся кибербезопасностью удаленных сотрудников. Тут у них можно почитать о том, как совершается атака, какие процессы затрагиваются, что находится под угрозой, как потом происходит сбор ворованной информации и так далее.
По их словам, Erbium может атаковать пользователей криптовалюты, похищая данные из цифровых кошельков пользователей — как холодных, так и работающих через расширение для браузера. Малварь взламывает учетные записи Exodus, Atomic, Bytecoin, Ethereum и десятков других кошельков. Известно, что он умеет получать коды двухфакторной аутентификации из нескольких менеджеров 2FA и паролей.
Похищаются также все данные браузера, такие как логины, файлы cookie, история и информация о кошельках, данные из плагинов. Воруется информация из Steam, Discord, FTP-клиентов, Telegram и холодных кошельков на рабочем столе. Вредоносная программа также умеет делать скриншоты.
После того, как данные были украдены, они передаются злоумышленникам по всему миру через встроенную систему API, а операторы видят обзор того, что было найдено на каждом зараженном хосте, на панели инструментов Erbium.
Зловред использует три URL-адреса для подключения к этой панели, включая сеть доставки контента (CDN) Discord, которой операторы вредоносного ПО вообще очень активно злоупотребляют.
Как избежать заражения
Лучший и наиболее эффективный способ избежать такого вредоносного ПО — понятно, не скачивать нелегально взломанные игры, кряки и разных ботов. Пока что зловред проникает в системы жертв в основном через запуски файлов с торрентов и файлообменников. Другой способ — убедиться, что у вас есть хороший антивирус, и он обновлен (первые патчи от Erbium обещают уже на днях). Также рекомендуется провести профилактическое сканирование компьютера на наличие вирусов и вредоносных программ, чтобы убедиться, что в последние дни ничего нового не занеслось.
Даже если вы ничего с торрентов не скачивали и не запускали, расслабляться не стоит. Скорее всего, малварь станут распространять и через другие методы, если они уже не начали. С ним работают уже несколько тысяч злоумышленников, явление довольно массовое. По данным DuskRise, зловред успели засечь при многочисленных атаках на цели, расположенные в США, Колумбии, Франции, Индии, Италии, Малайзии, Ливане, Португалии, Румынии, Испании, Турции и Вьетнаме.
Промокод для читателей нашего блога! Самые безопасные и надежные сервера!
— 15% на все тарифы VDS (кроме тарифа Прогрев) — по промокоду HabrFIRSTVDS.
50 тысяч активных серверов и 10 тысяч клиентов, которые с нами больше 5 лет.
Троян подменяющий буфер обмена если в нем адрес криптокошелька
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
- Уже зарегистрированы? Войти
- Регистрация
Сайт
Активность
Магазин
Поддержка
Kaspersky Support Forum
- Создать.
Важная информация
Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.
Новый ботнет инфицирует технику майнеров, заменяя адреса кошельков
Satori — семейство зловредного программного обеспечения, представители которого поражают роутеры, камеры наблюдения и другие IoT устройства. Цель — формирование ботнетов, что позволяет выполнять различные задачи — от DDoS до более сложных, вроде майнинга. Но сейчас появился новый представитель этого семейства, который ничего не майнит, а просто ворует добываемые коины.
8 января представители компании по информационной безопасности Netlab 360 из Китая опубликовали отчет, в котором сообщается про обнаружение зловреда, захватывающего майнинговые системы. Новая версия Satori использует уязвимости в Claymore Miner, заменяя адрес кошельков владельцев майнингового оборудования кошельками злоумышленников.
Поскольку оборудование продолжает и далее работать в штатном режиме, майнер может не сразу обнаружить проблему. Конечно, после того, как на кошелек прекращают поступать добытые коины, внимание это привлекает. Но в некоторых случаях могут пройти дни до момента, пока эта проблема будет замечена. Массовым этот зловред пока назвать нельзя.
Кошелек известен, и сколько там находится денег тоже известно. За все время было добыто всего лишь две монеты Ethereum, так что огромных доходов разработчики червя (пока) не получили. Но если вирус окажется заразным, потоки финансов могут увеличиться многократно. На данный момент производительность захваченного зловредом оборудования составляет около 2,1 миллионов хэшей в секунду. Такую мощность могут развить 85 ПК с картой Radeon Rx 480 или 1135 компьютеров с картами GeForce GTX 560M.
Насколько можно судить, сильно производительность оборудования не растет, вероятно, вирус либо не поражает новые устройства, либо владельцы систем быстро обнаруживают проблемы и у вируса не получается сформировать сколь-нибудь значительную сеть.
Стоит отметить, что семейство Satori — это модифицированная версия ботнета Mirai, исходники которого с недавних пор находятся в общем доступе. Mirai захватывает контроль над устройствами Интернета вещей, а в 2016 году этот ботнет стал развиваться очень быстрыми темпами, что стало причиной довольно значительных проблем.
Что касается Satori, то код этого ПО значительно модифицирован. Сам червь не инфицирует гаджеты с паролями по умолчанию. Вместо этого вредонос анализирует ПО устройств на предмет наличия уязвимостей. Если таковые находятся, устройства заражаются. В начале декабря Satori заразил более 100 тысяч устройств, и в течение ближайшего времени масштаб этого ботнета может вырасти во много раз.
Исследователи из Netlab 360 утверждают, что новая версия Satori, заточенная на криптовалюты появилась 8 января. Она анализирует устройства на предмет двух различных IoT уязвимостей, плюс использует дыру в ПО Claymore Mining, о чем и говорилось выше.
Пока что точно неясно каким именно образом новый вирус инфицирует компьютеры, добывающие криптовалюты. Сейчас известно, по крайней мере, об одной уязвимости в Claymore Mining. Насколько можно понять, червь работает с 3333 портом с дефолтными настройками (без аутентификации).
Большего количества данных компания Netlab 360 не предоставила во избежание получения полезной для своей работы информации злоумышленниками. Разработчики Claymore Mining пока не ответили на заявления кибербезопасников.
А вот кто-то из разработчиков Satori добавил сообщение следующего содержания: «Не переживайте из-за этого бота, он не выполняет никаких вредных действий. Со мной можно связаться по адресу curtain@riseup.net». Довольно странное заявление, поскольку уже то, что зловред заменяет кошельки майнеров на кошельки собственных разработчиков, явно нельзя назвать безобидным действием.
Что касается Satori, то это далеко не единственный «наследник» Mirai. В октябре прошлого года исследователи заявили о том, что в Сети обнаружилась новая проблема — еще один мощный зловред, который стал известен под названиями Reaper и IoTroop. Он также находит уязвимости в ПО и аппаратном обеспечении «облачных» устройств, и заражает их, превращая в зомби.