Компания ESET — лидер в области разработки антивирусного программного обеспечения — сообщает о высокой активности троянской программы Nymaim, которая осуществляет загрузку дополнительного вредоносного ПО, блокирует компьютер жертвы и вымогает деньги за расшифровку данных. Согласно результатам полученным данным, в ходе вредоносной кампании с использованием Win32/Nymaim пострадало уже почти 2,8 миллиона пользователей.
После тщательного изучения данной угрозы специалисты исследовательской лаборатории ESET пришли к выводу, что Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа. Выявленная угроза распространяется с помощью вредоносной программы под названием Darkleech, которая использует уязвимости веб-серверов и перенаправляет пользователей на зараженные страницы. Стоит также отметить, что заражение этим вредоносным ПО осуществляется при помощи комплекта взломщиков-эксплойтов BlackHole. Согласно полученным данным, угроза Darkleech инфицировала многие широко популярные Интернет-ресурсы, вследствие чего пострадало большое количество пользователей.
Кроме того, согласно результатам исследования веб-страниц, через которые происходило заражение системы, для масштабного распространения угрозы злоумышленники использовали техники поисковой оптимизации и так называемый метод Black Hat SEO, с помощью которых продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.
В ходе исследования также было обнаружено более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. На данный момент обнаружены примеры экранов блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако этот список не является окончательным, и жертвами угрозы могли стать пользователи из других стран.
Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около 150 долларов, однако пользователей из США просят заплатить за разблокировку самую высокую цену — 300 долларов. В то время как жертвы из Румынии могли откупиться «всего лишь» с помощью 100 евро.
Поскольку вредоносная программа Win32/Nymaim обладает широкими возможностями и использует новый способ распространения, аналитики ESET уже в ближайшее время ожидают значительное увеличение вариаций и, следовательно, жертв данного класса угроз.
Отметим, что продукты ESET качественно обнаруживают угрозу Win32/Nymaim. При этом для еще более надежной защиты от данного типа угроз пользователям рекомендуется обновить используемые флагманские продукты ESET NOD32 Antivirus® и ESET Smart Security® до седьмой версии. В данной версии реализован расширенный сканнер памяти, благодаря которому антивирусные решения ESET эффективно предотвращают заражению компьютера подобными троянскими программами-вымогателями. Данная функция позволяет обнаружить наиболее изощренные вредоносные программы, которые не смогли выявить другие технологии. Сканер предназначен для защиты от угроз, специально созданных таким образом, чтобы избежать обнаружения антивирусными программами.