Експерти Лабораторії Касперського виявили нові зразки шкідливого програмного забезпечення з троянського сімейства Rakhni

Експерти «Лабораторії Касперського» виявили нові зразки шкідливого програмного забезпечення з троянського сімейства Rakhni. З'ясувалося, що тепер зловред може вибирати варіант зараження комп'ютера жертви – шифрувальником або майнером.

За даними дослідників «Лабораторії Касперського», атакам Rakhni найчастіше зазнавала Росія (95,57%). Також зараження було зафіксовано в Казахстані (1,36%), в Україні (0,57%), у Німеччині (0,49%) та Індії (0,41%). Тільки за останній рік жертвами шкідливого сімейства Rakhni стали понад вісім тисяч користувачів. Причому троянець, мабуть, націлений на компанії більшою мірою, ніж на приватних осіб.

Основний спосіб поширення шкідливого програмного забезпечення – це спам-кампанії. Кіберзлочинці використовують як інструмент електронні листи, в яких жертвам пропонується зберегти та відкрити якийсь вкладений документ. Заражений документ, у свою чергу, рекомендує відкрити PDF-файл, що міститься в ньому. Однак після подвійного натискання замість PDF-документа запускається шкідлива програма.

Далі троянець приймає рішення про завантаження шифрувальника або майнера залежно від наявності директорії %AppData%\Bitcoin. Якщо вона є, зловред вибирає шифрувальника, якщо її немає і на зараженому комп'ютері доступно як мінімум два логічні процесори, скачується майнер. Коли директорія відсутня і на зараженій машині доступний лише один логічний процесор, завантажувач переходить до компонента-хробака – намагається скопіювати себе на всі інші пристрої локальної мережі.

Продукти "Лабораторії Касперського" виявляють описане шкідливе програмне забезпечення з наступними вердиктами: завантажувач: Trojan-Downloader.Win32.Rakhni.pwc; майнер: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu; шифрувальник: Trojan-Ransom.Win32.Rakhni.wbrf.