Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker

Hacker-forum!

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Hacker-forum! » Обсуждения » Вредонос Shamoon, стирающий данные с жестких дисков, снова активен


Вредонос Shamoon, стирающий данные с жестких дисков, снова активен

Сообщений 1 страница 30 из 182

1

Специалисты Symantec и Palo Alto Networks обнаружили активность старого вредоноса Shamoon (также известного под названием Disttrack). Эту малварь впервые нашли в 2012 году, когда вредонос атаковал саудовскую нефтяную компанию Aramco. Shamoon изучали специалисты компаний Websense (нынешняя Forcepoint), Seculert, и «Лаборатории Касперского». Тогда вредонос был настроен на стирание данных с 30 000 компьютеров и затирание MBR (Master Boot Record). Кроме того, по окончании работы малварь демонстрировала изображение горящего американского флага.

Четыре года спустя исследователи Symantec и Palo Alto Networks предупреждают, что Shamoon вернулся. Вредонос снова был нацелен на как минимум одну неназванную компанию в Саудовской Аравии и содержал в настройках жестко закодированные учетные данные от компьютеров ее сотрудников, чтобы угроза могла распространиться быстро и нанести как можно больше вреда. Как и в 2012 году малварь затирает информацию на дисках и переписывает MBR. В конце Shamoon демонстрирует известное фото погибшего Айлана Курди — сирийского мальчика трех лет, который был беженцем курдского происхождения. Курди погиб вместе с несколькими родственниками 2 сентября 2015 года, когда его семья пыталась пересечь Средиземное море.

По данным специалистов, атака произошла вечером 17 ноября 2016 года, и эта дата тоже была выбрана не случайно: в это время в Саудовской Аравии отмечают Ночь предопределения, то есть атака началась одновременно с праздничными выходными.

Исследователи пишут, что сама малварь практически аналогична образчику 2012 года. Shamoon по-прежнему содержит три основных компонента: дропер, компонент для коммуникаций с управляющим сервером и компонент для стирания данных, основанный на драйвере RawDisk компании EldoS. Благодаря RawDisk вредоносу практически не нужно взаимодействовать с Windows, он сразу обращается к жестким дискам. Этот же драйвер использовался в 2014 году во время атаки на Sony Pictures. Также специалисты отмечают, что во время новой атаки компонент для связи c C&C-сервером был отключен, то есть настроен на IP-адрес 1.1.1.1, где нет и никогда не было инфраструктуры Shamoon.

По мнению экспертов, за новой атакой стоит та же группа хакеров, что и в 2012 году. На это указывает тот факт, что RawDisk подменяет системное время на август 2012 года, — эта дата является дедлайном, после которого истекает временная лицензия, которая так же использовалась для атаки в 2012 году.

2

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

3

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

4

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

5

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

6

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

7

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

8

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

9

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

10

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

11

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

12

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

13

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

14

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

15

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

16

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

17

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

18

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

19

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

20

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

21

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

22

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

23

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

24

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

25

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

26

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

27

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

28

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

29

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

30

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.


Вы здесь » Hacker-forum! » Обсуждения » Вредонос Shamoon, стирающий данные с жестких дисков, снова активен