Jedan ransomware se našao među tri trenutno najopasnije pretnje, da li pogađate o kome je reč?

Opisi virusa, 27.10.2016, 00:30 AM

Prema statističkim podacima koje je prikupila kompanija Check Point, ransomware se po prvi put našao među tri vodeće najopasnije pretnje.

Broj žrtava ransomwarea je do skoro bio relativno mali, nedovoljan da se ransomware nađe među top 10 najopasnijih pretnji, a kamoli među tri vodeće familije malvera. Ali situacija se promenila ovog leta i jeseni kada su se infekcije ransomwarea otrgle kontroli. Tako se dogodilo da se jedna familija ransomwarea nađe na trećem mestu na listi deset trenutno najraširenijih pretnji. Pogađate o kojoj je familiji ransomwarea reč? Naravno, o ozloglašenom ransomwareu Locky.

Lockyjeva dominacija među ransomwareima nije iznenađenje, s obzirom da je on nekoliko puta ažuriran proteklih meseci, i da se širi preko velike bot mreže Necurs, koja ima više od 6 miliona botova koji šalju spam emailove koji sadrže Locky.

Osim toga, porast broja infekcija ransomwareom Locky može se dovesti u vezu sa nedavno objavljenim podatkom da se Locky nalazi u 97% svih malicioznih atačmenta u spam emailovima.

Na prvom mestu liste koju je objavila kompanija Check Point, nalazi se Conficker, crv koji napada Windows računare. Conficker se pojavio u jesen 2008., kada je ciljao računare sa Windows XP. U međuvremenu, Conficker je evoluirao pa aktuelne verzije malvera koje su specijalizovane za širenje sa sistema na sistem, služe kao alat za infekciju. Ako dobije komande od svog komandno-kontrolnog servera, Conficker može da preuzima druge malvere, krade lozinke i isključuje antivirusni softver.

Još jedan stari malver nalazi se na drugom mestu. Reč je o virusu Sality koji se pojavio 2003. godine i za koga se veruje da vodi poreklo iz Rusije. Sality može da se širi na različite načine. To je polimorfni malver, koji se neprestano razvija, koga je teško detektovati i koji funkcioniše tako što inficira izvršne fajlove i zatim preuzima neki kompleksniji malver. Kao i Conficker, i Sality kontroliše velika bot mreža.

Već smo spomenuli neočekivani plasman ransomwarea Locky na ovoj listi. Locky je relativno novi malver koji se pojavio početkom ove godine. Malver šifruje fajlove na inficiranim računarima, i trenutno nema besplatnog rešenja za dešifrovanje fajlove koje je šifrovao Locky. Locky se širi preko exploit alata, makro malvera, i ZIP fajlova u emailovima koji sadrže JS, WSF, HTA ili LNK fajlove. U većini slučajeva spam emailovi odgovorni za širenje Lockyja potiču od bot mreže Necurs, kojom upravlja kriminalna grupa koja upravlja i bankarskim trojancem Dridex.

Bot mreža Cutwail se našla na četvrtom mestu. Bot mreža je formirana sa trojancem Pushdo koji se pojavio 2007. godine. Cutwail se koristi za slanje spam emailova a ponekad i za DDoS napade. Arhitektura bot mreže je jednostavna, sa komando-kontolnim serverom u sredini, pa se postavlja pitanje zašto nadležni do sada nisu uspeli da se izbore sa ovom bot mrežom.

Zeus je čuveni bankarski trojanac čiji je izvorni kod procureo pre nekoliko godina i koji je bio baza za kodove većine trenutno aktuelnih bankarskih trojanaca koji ciljaju korisnike računara. Zeus je na ovoj listi na petom mestu.

Sledeći na listi je Chanitor poznat i kao Hancitor ili H1N1. To je dropper koji se širi preko spam emailova. Chanitor inficira računare u većini slučajeva bankarskim trojancima.

Tinba je na sedmom mestu. Trojanac poznat i po nazivima Tiny Banker ili Zusy. Tiny Banker je poznat kao najmanji bankarski trojanac, koji je u prošlosti uglavnom napadao korisnike u Aziji. Trojanac kompromituje browsere i prikazuje lažne web stranice iznad autentičnih stranica banaka.

Još jedan ransomware se našao među vodećih deset. To je Cryptowall koji se širi uglavnom preko malicioznih reklama i fišinga. Još uvek nema besplatnog rešenja za žrtve ovog ransomwarea.

Blackhole je na devetom mestu liste najopasnijih pretnji. U pitanju je exploit alat koji je napravio 29-ogodišnji Rus Dmitrij Fedotov, koji se trenutno nalazi u zatvoru. Posle njegovog hapšenja, procureo je kod ovog alata tako da je on bio dostupan i drugim kriminalcima. Nekada jedan od vodećih exploit alata na tržištu, danas je Blackhole izgubio nekadašnji potencijal i njegov kod se uglavnom ne održava.

Nivdort poznat i kao Bayrob, je modularni backdoor trojanac koji se pojavio 2007. godine, i koji je nedavno doživeo preobražaj, čime se može objasniti iznenadni porast aktivnosti ovog malvera. Nivdort se širi preko spam emailova, a koristi se za prikupljanje lozinki, menjanje podešavanja sistema i preuzimanja drugih malvera. Nivdort je poslednji na listi trenutno najopasnijih pretnji.