Средата на 2016 г. – но вече спокойно можем да я определим като годината на криптовирусите. Зловредните кодове, които криптират или спират достъпа до информацията на компютри, смартфони и таблети, търпят непрестанно развитие – и стават все по-опасни. Nemucod е живото доказателство за това. През март ти разказахме за първи път за този виурс. Тогава заразата с него ставаше чрез получаване на мейл, съдържащ имитации на фактури, снимки, договори и т.н. Свалянето и активирането на прикачения файл води до криптиране на данните на компютъра, след което кибер-престъпниците изискват откуп за отключването им.В пристъп на паника и притеснение, че ще се разделят с ценни файлове, жертвите бързо се решават да платят откупа. Стъпка, която ако предприемеш, не гарантира, че достъпът до данните ти ще бъде възстановен. Превеждайки исканата сума на кибер-престъпниците е възможно дори да задълбочи проблема. Видят ли, че си платежоспособен, вероятността да те атакуват отново, нараства многократно.Именно платените подкупи са насърчили измамниците да направят подобрения по Nemucod. Сега той е още по-опасен и атакува устройството по различен начин:
Стъпка 1. Подсигуряване на връзка
Създателите на Nemucod са се погрижили да елиминират една от основните пречки, възпрепятстваща свалянето на криптовируса - Интернет връзката. В новия си вариант зловредният код залага на няколко опции, за да установи такава с командния си сървър. Опитите за свързване се изпълняват, докато не бъде намерен работещ метод.![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-1-768x333.png)
Стъпка 2. Повече от един сайт за сваляне
Абсолютно същата схема, както с подсигуряването на връзка, е приложена и тук. Ако до момента криптовирусът е бил теглен от един сайт, то занапред възможностите се увеличават – т.е. добавени са нещо като mirror сървъри, от които да се сваля зловредния код. И, ако достъпът до основния сървър е блокиран, веднага може да се пробва със следващ онлайн адрес.![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-2.png)
Стъпка 3. Първи етап на заобикаляне на защитните механизми
Ако доскоро сваляният изпълним файл е бил .exe, на този етап той е с различно разширение. Причината е съвсем проста – да заблуди инструментите за филтриране на заплахите. Зловредният код първоначално се сваля в %TEMP% директорията.![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-6.png)
![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-7.png)
Стъпка 4. Втори етап на заобикаляне на защитните механизми
Вторият етап на камуфлажиране включва три фази на допълнително модифициране:- Премахване на последните 4 символа от съдържанието на файла;
- Извършване на XOR операция на всяка буква “s” (0x73);
- Обръща подредбата на съдържанието на файла.
Стъпка 5. Проверка на валидността на файла
Извършва се проста проверка, която трябва да удостовери, че големината на файла е между 174,080 и 189,440 байта и започва със символите „MZ“ (0x4D5A). Ако данните не отговарят, се задейства отново стъпка 2, при която файлът се сваля от друг сайт.![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-11.png)
Стъпка 6. Записване
При успешно преминаване на проверките, файлът успешна се запазва в %TEMP% директорията.![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-13.png)
![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-14.png)
Стъпка 7. Изпълнение
Заразата става реалност, когато новата версия на Nemucod създава „.bat“ файл, чиято цел е да страна активира „.exe“ файла. И зловредният код активира този .bat файл.![](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/fileadmin/Images/INT/Press/2016/2016-06-17/Nemucod-–-15-768x327.png)