Два основных вектора заражения шифровальщиками – это эксплойты и спамовые письма. В моей последней статье я показал пару примеров, которые были связаны с эксплойтами, а теперь обращаю внимание на спам, насколько он популярен.
Обычно спамовые кампании, используемые для распространения шифровальщиков, направлены на отправку писем с вредоносными вложениями (.zip), содержащими вредоносный код, который должен запуститься пользователем. Это может быть PE-файл (как правило, .exe), скрипт (.js, .vbs, .wsf и т.д.) или документ Word (он может быть заархивирован или нет). Другой подход (кстати, довольно успешный для кибер-преступников, как мы могли видеть в рамках ложной кампании со счетами) заключается в том, что в электронное письмо добавляется ссылка, которая отправляет жертву на веб-сайт, где он уже скачивает заархивированный файл.
Какова частота таких атак? Взглянув на наши данные, за последние пару месяцев, мы (в антивирусной лаборатории PandaLabs) остановили несколько атак шифровальщиков, использующих PE или скрипт-файлы, распространяемые по электронной почте (в виде вложения или как ссылка на веб-сайт):
В целом было заблокировано 22 665 попыток заражений. Учитывая, что это именно то, что осталось за рамками всех других слоев безопасности (сигнатуры, эвристика, фильтры вредоносных сайтов и т.д.), то реальное количество явно выше, при этом пользователи сами заражают себя такими угрозами. Представьте, есть образец, который в течение 2 дней имеет немного попыток заражения, но зато потом в течение 5 дней это количество существенно выше: да, кибер-преступники тоже любят выходные. Это вполне нормально, что сейчас основная цель – это компании, а потому эффективность атак возрастает с понедельника по пятницу.
Давайте посмотрим на данные и увидим, насколько популярны вредоносные документы Word по сравнению с вредоносными скриптами. За одинаковый период времени было заблокировано 3 943 попытки заражения:
Тут также наблюдается провал выходных дней. Word – это не единственный используемый тип документов Microsoft Office, но другие типы документов менее популярны и они появляются время от времени. Например, за последние 2 месяца мы видели только 1 спамовую кампанию, использующую Excel:
На этом пока всё.
Поделиться с друзьями