На этой неделе криптовалюты снова стали часто мелькать в заголовках новостей, но в этот раз их появление связано не с самым лучшим поводом. Новый вариант вредоносной программы под названием “WannaMine” стало заражать многие компьютеры во всем мире, чтобы использовать их ресурсы для майнинга криптовалюты под названием Monero.
в октябре прошлого года, но только сейчас эта вредоносная программа привлекла внимание общественности благодаря ряду громких заражений. Но в отличие от других вариантов вредоносных программ, оказывается, что WannaMine очень сложно обнаружить и заблокировать.
Что делает WannaMine ?
Если говорить упрощенно, то WannaMine был разработан для майнинга криптовалюты под названием Monero. Эта вредоносная программа скрытно заражает компьютер жертвы, а затем использует его для запуска сложных процедур расшифровки, которые позволяют создавать новые Monero. Затем валюта добавляется в цифровой кошелек, принадлежащий хакерам, которые готовы тратить ее по своему выбору.
Он может показаться достаточно безвредным, но процесс майнинга требует достаточно много ресурсов и он получает более высокий приоритет по сравнению с легитимными процессами на ПК. Зараженный компьютер начинает работать медленнее, а это затрудняет работу пользователя.
В чем проблема?
Существует несколько серьезных проблем, связанных с WannaMine. Во-первых, то, как зловред пытается максимально использовать ресурсы процессора и оперативной памяти, в результате чего компьютер начинает работать под максимальными нагрузками. В конце концов, ПК начинает сбоить, может привести к дорогостоящему ремонту или даже его полной замене.
Вторая серьезная проблема связана с тем, как WannaMine распространяет себя. Изначально нет ничего не обычного: путем обмана пользователей заставляют скачать вредоносную программу из вложенного в электронное письма файла или на зараженных веб-сайтах. После того, как вредоносная программа была установлена, WannaMine начинает использовать несколько очень изощренных «трюков», чтобы распространиться по сети.
С помощью двух встроенных утилит Windows (PowerShell и инструментарий управления Windows Management Instrumentation), WannaMine пытается перехватывать регистрационные данные, которые позволяют удаленно подключаться к другим компьютерам. Если это не получается, то WannaMine возвращается к использованию того же эксплойта безопасности (EternalBlue), что использовался для собственного распространения.
В силу того, что данная угроза использует встроенные в Windows утилиты, WannaMine относится к «безфайловым» угрозам, что делает ее чрезвычайно сложной в обнаружении и блокировке. На самом деле, показывают, что многие традиционные антивирусные приложения не могут обнаруживать WannaMine и защищать пользователей от этой угрозы.
Защита от WannaMine
Единственный способ обнаружить инфекцию WannaMine – это тщательный мониторинг приложений и служб, запущенных на компьютере, используя технику, аналогичную Adaptive Defense. проверяют все входящие файлы и предотвращают заражение до того, как WannaMine сможет скомпрометировать компьютер.
Помимо наличия надежного и современного антивирусного приложения, установленного на всех ваших компьютерах, крайне важно, чтобы все установленные программы своевременно обновлялись для закрытия «лазеек», которые могут использоваться вредоносными программами. Эксплойт EternalBlue, используемый WannaMine и WannaCry, был устранен корпорацией Microsoft еще в марте 2017 года, но многие пользователи Windows не применили обновление, оставив свои компьютеры уязвимыми перед этим эксплойтом.
Поддержание вашего компьютера в обновленном состоянии и установка решения безопасности поможет блокировать эту вредоносную программу по майнингу криптовалюты до того, как она сможет захватить контроль над вашим ПК. И как показывает WannaMine, если ваш компьютер заражен, то вскоре он сможет распространить инфекцию и на другие компьютеры и устройства в вашей сети.
Оригинал статьи:
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
