Втори рунд. Nymaim се завръща

Next story

Той се завърна. Nymaim – един позабравен виус от 2013 г. отново е тук, по-опасен от всякога. Той агресивно атакува потребителите в Европа и Латинска Америка, подобно на дебютното си представяне през 2013 г., когато заразените устройства в световен мащаб са над 2,8 милиона.Механизмът на инфекция е добре познат на тези от вас, които вече са се сблъсквали с криптовируси или следят нашия блог. Новият вариант на зловредния код се засича като Win32/TrojanDownloader.Nymaim.BA. и се разпространява под формата на spearfishing. Т.е. жертвите получават имейл, който изглежда сякаш е изпратен от техен близък или бизнес контакт. Съобщението съдържа прикачен документ, наподобяващ.doc файл. След отварянето му обаче, потребителят е приканен да активира макрос. Той (макросът) съдържа едно от подобренията на Nymaim – кодът заобикаля настройките за сигурност на Microsoft Word и сваля нов файл, чрез който системата се заразява със зловреден код.Nymaim разчита на подобрени техники за пробив и заблуждаване на потребителя, за да успее да проникне в системата. И – както се вижда – на променен метод на разпространение. За разлика от 2013 г., когато вирусът разчиташе на компрометирани сайтове, които използваше за свалянето и инфектирането на потребители, днес той се разпространява ексклузивно по имейл. Промени има не само в начина за инфектиран – а и във функционалността му. Защото Nymaim вече показва и елементи на целенасоченост в атаките си – най-вече когато става въпрос за финансови институции. При тях вирусът не криптира файлове и не иска откуп, а позволява отдалечен достъп върху заразената машина за създателя на вируса. А този създател ключа към чувствителна информация, чието изтичане би компрометирало организацията – и сигурността на клиентите ѝ.Ако имаш опасения, че може да си станал жертва на Nymaim, направи следното. Провери дали някой от следните IP или URL адреси присъства като изключения в защитната стена и записите на прокси сървъра:31.184.234.158
35.51.69.111
70.212.173.116
101.186.50.249
142.126.57.60
154.58.222.139
162.244.32.165
165.203.213.15
206.114.64.228
hxxp://gafbqvx.com/xyg9rwlq/index.php
hxxp://olmart.com/system/cache/word.exe
hxxp://securesrv15.com/article/509.exeПри наличие на някой от тях, блокирай IP-та, осигуряващи връзка със сървъра на кибер-престъпниците, както и адресите, преминаващи през прокси връзката.А за да намалиш максимално риска от зараза – използвай доказано ефективно решение за защита от вируси – ESET NOD32 Antivirus.