Обнаружена еще одна вредоносная атака, но хорошей новостью является то, что Защитник Windows выполнил свою работу и предотвратил 400 000 атак за короткий промежуток времени. Похоже, что атака носит географический характер и нацелена на российских пользователей.
Атака
Первоначально всего 80 000 систем были поражены вредоносным ПО Dofoil, также известным как Smoke Loader. Этот конкретный троянец без вашего согласия может загружать другие программы, в том числе и другие вредоносные программы. На этот раз Dofoil пытался заставить свои цели добывать криптовалюту.
Двенадцать часов спустя вредоносное ПО поразило еще 320 000 пользователей. Интересно, что почти все цели были российскими. Фактически 73 процента были из России, 18 процентов из Турции и 4 процента из Украины.
Вредоносные программы, занимающиеся криптомайнингом, считаются более разрушительными, поскольку они нагружают компьютерные процессоры. Они вынуждены выполнять дополнительную работу, а это приводит к еще большему нагреву. Если процессор работает так интенсивно в течение длительного периода времени, он может выйти из строя.
«Поскольку ценность Биткойна и других криптовалют продолжает расти, операторы вредоносных программ видят возможность включать компоненты майнинга монет в свои атаки»,заявили в Microsoft.
Например, наборы эксплойтов теперь поставляют майнеры монет вместо программ-вымогателей. Мошенники добавляют скрипты для добычи монет на мошеннические сайты службы технической поддержки. А некоторые семейства банковских троянов добавили функцию майнинга монет».
Сохранено Защитником Windows
Dofoil запускает Explorer и останавливает его, затем удаляет часть кода и помещает на его место вредоносное ПО. Это позволяет ему работать незамеченным и удалять компоненты, хранящиеся на жестком диске или SSD. Это заставляет систему думать, что это обычный процесс Explorer.
Вредоносное ПО запускает службу клиента автоматического обновления Центра обновления Windows и снова удаляет участок кода, но на его место ставит вредоносное ПО для майнинга.
Защитник Windows от Microsoft обнаружил самые первые попадания Dofoil «в течение миллисекунд», поскольку атака, теперь замаскированная под Центр обновления Windows, была запущена из неправильного места, а активность сетевого трафика выглядела подозрительной.
Благодаря этому полному процессу, проведенному Защитником Windows, он смог не только обнаружить и проанализировать его, но и взаимодействовать с облаком Microsoft. Это означает, что он не просто заблокировал вредоносное ПО на одном компьютере — он быстро распространил информацию о заражении на другие компьютеры, на которых работает Защитник Windows в системах Windows 7, Windows 8 и Windows 10. Это позволило предотвратить заражение еще 320 000 компьютеров.
Хотя целью, по всей видимости, являются Россия и соседние с ней страны, пользователи по всему миру будут защищены от этого вредоносного ПО благодаря тому, что Defender передает информацию всем компьютерам, на которых он работает.
Ясное решение
Решение этой проблемы кажется довольно очевидным. Если вы используете Windows 7, 8 или 10, убедитесь, что вы используете Защитник Windows. Если вредоносная программа нацелена на нескольких пользователей, приложение либо обнаружит ее и предотвратит попадание на ваш компьютер, либо уведомит ваш компьютер о возможности заражения.
Вы используете Защитник Windows? Насколько безопасно вы себя чувствуете при этом? Дайте нам знать, оставив свои мысли в разделе комментариев ниже.
