Два основных вектора заражения шифровальщиками – это эксплойты и спамовые письма. В моей я показал пару примеров, которые были связаны с эксплойтами, а теперь обращаю внимание на спам, насколько он популярен.
Обычно спамовые кампании, используемые для распространения шифровальщиков, направлены на отправку писем с вредоносными вложениями (.zip), содержащими вредоносный код, который должен запуститься пользователем. Это может быть PE-файл (как правило, .exe), скрипт (.js, .vbs, .wsf и т.д.) или документ Word (он может быть заархивирован или нет). Другой подход (кстати, довольно успешный для кибер-преступников, как мы могли видеть в рамках ) заключается в том, что в электронное письмо добавляется ссылка, которая отправляет жертву на веб-сайт, где он уже скачивает заархивированный файл.
Какова частота таких атак? Взглянув на наши данные, за последние пару месяцев, мы в антивирусной лаборатории PandaLabs) остановили несколько атак шифровальщиков, использующих PE или скрипт-файлы, распространяемые по электронной почте (в виде вложения или как ссылка на веб-сайт):
В целом было заблокировано 22 665 попыток заражений. Учитывая, что это именно то, что осталось за рамками всех других слоев безопасности (сигнатуры, эвристика, фильтры вредоносных сайтов и т.д.), то реальное количество явно выше, при этом пользователи сами заражают себя такими угрозами. Представьте, есть образец, который в течение 2 дней имеет немного попыток заражения, но зато потом в течение 5 дней это количество существенно выше: да, кибер-преступники тоже любят выходные. Это вполне нормально, что сейчас основная цель – это компании, а потому эффективность атак возрастает с понедельника по пятницу.
Давайте посмотрим на данные и увидим, насколько популярны вредоносные документы Word по сравнению с вредоносными скриптами. За одинаковый период времени было заблокировано 3 943 попытки заражения:
Тут также наблюдается провал выходных дней. Word – это не единственный используемый тип документов Microsoft Office, но другие типы документов менее популярны и они появляются время от времени. Например, за последние 2 месяца мы видели только 1 спамовую кампанию, использующую Excel:
На этом пока всё.
Автор статьи: Луис Корронс
Оригинал статьи:
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
