Вирус с обратным отсчетом

Обновлено: 22.04.2024

Reimаge Intego является рекомендуемым инструментом, чтобы увидеть, есть ли искаженные или поврежденные файлы. Программа не обязательно обнаружит вирус, который вы ищете. Вы можете очистить обнаруженные проблемы с помощью бесплатного сканирования, используя бесплатное ручное восстановление. Более расширенное сканирование и автоматическое удаление предоставляется после оплаты.
Устранить сейчас Устранить сейчас

Больше информации о Reimаge и Инструкции по удалению. Ознакомьтесь с Reimаge EULA и Политикой конфиденциальности. Reimаge сканер и возможность ручного ремонта бесплатны. Продвинутая версия должна быть куплена.

Больше информации о Intego и Инструкции по удалению. Ознакомьтесь с Intego EULA и Политикой конфиденциальности. Intego сканер и возможность ручного ремонта бесплатны. Продвинутая версия должна быть куплена.

Руководство по удалению вируса WannaCry

Что такое Вирус-вымогатель WannaCry

Массивная кибератака: WannaCry вымогатель заразил более 230, 000 компьютеров по всему миру

WannaCry ransomware virus

WannaCry вирус — это программа-вымогатель, которая использует EternalBlue эксплойт для заражения компьютеров, работающих под управлением операционной системы Microsoft Windows. Вымогатель также известен как WannaCrypt0r, WannaCryptor, WCry, и Wana Decrypt0r. Как только он попадает на целевой компьютер, он быстро шифрует все файлы и помечает их одним из следующих расширений: .wcry, .wncryt и .wncry.

Вирус делает данные бесполезными с помощью сильного шифрования, меняет обои для рабочего стола, создает записку о выкупе “Please Read Me!.txt” а затем запускает окно программы под названием “WannaDecrypt0r”, которое сообщает, что файлы на компьютере были зашифрованы. Вредоносная программа призывает жертву выплатить выкуп в размере от $300 до $600 в биткоинах и обещает удалить все файлы, если жертва не заплатит деньги в течении 7 дней.

Вредоносная программа удаляет теневые копии, чтобы предотвратить восстановление зашифрованных данных. Кроме того, вымогатель действует как червь, потому что как только он попадает на целевой компьютер, он начинает искать другие компьютеры, которые можно заразить.

Паразит использует лазейку безопасности в ОС Windows и быстро распространяется, используя инструменты общего доступа к файлам (такие как Dropbox или облачные диски общего доступа) без запроса разрешения жертвы сделать это. Поэтому, если вы подверглись кибер-атаке, вы должны как можно скорее удалить WannaCry, чтобы он не распространялся дальше.

Некоторые из затронутых компаний имели резервные копии данных, в то время как другие сталкивались с трагическими последствиями. Без исключения, всем жертвам рекомендуется как можно скорее удалить WannaCry, так как это может помочь предотвратить дальнейшее распространение вымогателя.

WannaCry распространяется, используя EternalBlue эксплойт

Основной вектор заражения WannaCry вымогателя — это эксплойт EternalBlue, который является кибер-шпионом, украденным из Агентства национальной безопасности США (NSA) и опубликованным онлайн группой хакеров, известной как Shadow Brokers.

Вредоносная программа обычно поступает в виде трояна-дроппера, содержащего набор эксплойтов и самого вымогателя. Затем дроппер пытается подключиться к одному из удаленных серверов, чтобы загрузить вымогателя на компьютер. Последние версии WannaCry распространяются через girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 в регионе APAC. Вымогатель может затронуть любого, кто не обладает знаниями о распространении вымогателей, поэтому мы рекомендуем прочитать это руководство по предотвращению WannaCry вымогателя, подготовленное нашими специалистами:

  1. Установите системное обновление безопасности MS17-010, недавно выпущенное Microsoft, оно устранит уязвимость, которую использует вымогатель. Обновления были выпущены исключительно для старых ОС, таких как Windows XP или Windows 2003.
  2. Следите за обновлениями остальных компьютерных программ.
  3. Установитенадежное антивирусное средство для защиты вашего компьютера от незаконных попыток заразить вашу систему вредоносными программами.
  4. Никогда не открывайте электронные письма, которые приходят от незнакомцев или компаний, с которыми у вас нет бизнеса.
  5. Отключите SMBv1, используя инструкции, предоставленные Microsoft.

WannaCry вымогатель

Исследователь демонстрирует скриншоты, сделанные во время WannaCry атаки. Вы можете видеть Wanna Decrypt0r окно также, как и изображение, установленное WannaCry в качестве фона рабочего стола после заражения системы и шифрования всех файлов на ней.

Версии WannaCry

Вирус файл-расширение .wcry. Считается, что это первая версия печально известного вымогателя. Впервые, она была обнаружена в начале февраля 2017 года, и поначалу этот вирус не был похож на тот, который мог превзойти самые распространенные вирусы, такие как Cryptolocker, CryptXXX или Cerber.

Вирус использует криптографический шифр AES-128 для надежной блокировки файлов, добавляет файл расширение .wcry к их именам и просит передать 0,1 биткойн в предоставленный виртуальный кошелек. Первоначально вредоносное ПО распространялось через спам письма электронной почты; Однако, конкретно этот вирус не принес много доходов для его разработчиков. Несмотря на то, что файлы, зашифрованные этим вымогателем, оказались невосстанавливаемыми без ключа дешифрования, разработчики решили обновить вредоносную программу.

Вирус-вымогатель WannaCrypt0r . Это еще одно название обновленной версии вымогателя. Новая версия выбирает уязвимости Windows как основной вектор атаки и зашифровывает все файлы, хранящиеся в системе за считанные секунды. Зараженные файлы могут быть распознаны через расширения, добавленные к имени файла сразу после оригинального имени файла — .wncry, wncryt или .wcry.

Невозможно восстановить поврежденные данные без резервных копий или закрытого ключа, созданного во время процесса шифрования данных. Обычно вирус требует $300, хотя он повышает цену выкупа $600, если жертва не заплатит деньги в течение трех дней.

Вирус-вымогательWannaDecrypt0r . WannaDecrypt0r — это программа, которую вирус запускает после успешного проникновения в целевую систему. Исследователи уже заметили версии Wanna Decryptor 1.0 и Wanna Decryptor 2.0, приближающиеся к жертвам.

Вредоносная программа отображает часы с обратным отсчетом, показывающие, сколько времени осталось, чтобы заплатить выкуп до тех пор, пока цена его не достигнет максимума, а также идентичные часы обратного отсчета, показывающие, сколько времени осталось до тех пор, пока вирус не удалит все данные с компьютера. Эта версия потрясла виртуальное сообщество 12 мая 2017 года, хотя спустя несколько дней его остановил исследователь безопасности, который носит имя MalwareTech.

Как удалить WannaCry и восстановить зашифрованные файлы?

Вам следует полагаться только на профессиональные методы удаления вируса WannaCry и не пытаться вручную удалить эту вредоносную программу. Вирус чрезвычайно опасен и использует сложные меры для распространения через всю компьютерную систему, а также заражает подключенные компьютеры и интеллектуальные устройства. Чем скорее вы отключите этот вирус, тем лучше, так что не теряйте больше времени.

Friday countdown.exe это исполняемый файл, который является частью Пятница обратный отсчет Программа, разработанная Виджеты Opera, Программное обеспечение обычно о 1 MB по размеру.

Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли Friday countdown.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.

Friday countdown.exe - вирус или вредоносное ПО?

Friday countdown.exe безопасный, или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как Friday countdown.exe, должен запускаться из C: \ users \ user \ appdata \ Local \ Friday countdown \ Friday countdown.exe, а не в другом месте.

Наиболее важные факты о Friday countdown.exe:

Если у вас возникли какие-либо трудности с этим исполняемым файлом, вам следует определить, заслуживает ли он доверия, перед удалением Friday countdown.exe. Для этого найдите этот процесс в диспетчере задач.

Найдите его местоположение (оно должно быть в C: \ users \ user \ appdata \ Local \ Friday countdown) и сравните размер и т. Д. С приведенными выше фактами.

Кроме того, функциональность вируса может сама повлиять на удаление Friday countdown.exe. В этом случае вы должны включить Безопасный режим с загрузкой сетевых драйверов - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.

Могу ли я удалить или удалить пятницу countdown.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Согласно различным источникам онлайн, 1% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицирован как вредоносный, эти приложения также удалят Friday countdown.exe и избавятся от связанных вредоносных программ.

  • 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
    o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
    o Windows XP: нажмите Установка и удаление программ.
  • 2. Когда вы найдете программу Пятница обратный отсчетщелкните по нему, а затем:
    o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
    o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
  • 3. Следуйте инструкциям по удалению Пятница обратный отсчет.

Наиболее распространенные ошибки Friday countdown.exe, которые могут возникнуть:

Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с обратным отсчетом до пятницы. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Чтобы помочь вам проанализировать процесс Friday countdown.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.

Обновлено апреля 2022 года:

Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.

скачать


(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика конфиденциальности | Удалить)

Загрузите или переустановите Friday countdown.exe

Информация об операционной системе

Ошибки Friday countdown.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:


Петя, хватит

Национальный банк Украины (НБУ) сообщил, что из-за вируса частично парализована работа нескольких банков. По данным украинских СМИ, атака коснулась офисов Ощадбанка, Укрсоцбанка, Укргазбанка, ОТП Банка и ПриватБанка.

Позже украинские СМИ уточнили, что речь идет о вредоносе Petya.A. Он распространяется по обычной для хакеров схеме: жертвам рассылаются фишинговые письма от подставных лиц с просьбой открыть вложенную ссылку. После этого вирус проникает в компьютер, шифрует файлы и требует выкуп за их дешифровку.

Хакеры указали номер своего биткоин-кошелька, на который следует переводить деньги. Судя по информации о транзакциях, жертвы перевели уже 1,2 биткоина (более 168 тысяч рублей).

По данным специалистов по информационной безопасности из компании Group-IB, в результате атаки пострадали более 80 компаний. Руководитель их криминалистической лаборатории Валерий Баулин отметил, что вирус не связан с WannaCry. Для устранения проблемы он посоветовал закрыть TCP-порты 1024–1035, 135 и 445.

Кто виноват

Во вложении к обычному письму, которое зачастую получали сотрудники отдела кадров, содержалась информация о подставном кандидате. В одном из файлов действительно можно было найти резюме, а в следующем — установщик вируса. Тогда главной мишенью злоумышленника стали компании в Германии. За сутки в ловушку попали более 160 сотрудников немецкой компании.

Взлом без правил Как Джеймс Бонд и Брэд Питт заражают пользователей сети вирусами

Оригинальная версия Petya начала активно распространяться в апреле 2016 года. Она искусно маскировалась на компьютерах и выдавала себя за легальные программы, запрашивая расширенные права администратора. После активации программа вела себя крайне агрессивно: ставила жесткий дедлайн для оплаты выкупа, требуя 1,3 биткоина, а по истечении срока удваивала денежную компенсацию.

Правда, тогда один из пользователей Twitter быстро нашел слабые стороны вымогателя и создал простую программу, которая за семь секунд генерировала ключ, позволяющий снять блокировку с компьютера и расшифровать все данные без каких-либо последствий.

Не в первый раз

Требование выкупа на зараженном WanaCrypt0r 2.0 компьютере.

Требование выкупа на зараженном WanaCrypt0r 2.0 компьютере.. Фото: @dabazdyrev


Ну что, пришло время попробовать себя в жанре книжного обзора. Книга Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon журналистки Ким Зеттер, наиболее известной благодаря своим статьям в журнале Wired, вышла достаточно давно, в ноябре 2014 года, но с тех пор так и не была переведена на русский язык (на английском доступна, например, в Amazon в электронном виде). Впрочем, дело не в переводе: историю Stuxnet можно изучать и по открытым публикациям и исследованиям специалистов по безопасности, но в этом случае вы получите ассортимент технических фактов о вредоносном коде, из которых не так-то просто сложить паззл всей истории.

Формат

Stuxnet использовал уязвимость нулевого дня в Microsoft Windows, благодаря чему мог распространяться на USB-носителях. А уязвимость нулевого дня это…


Чтобы скрыть зараженные файлы на флешке, на систему устанавливался руткит, а руткит — это…


Вредоносный код был подписан легитимными на тот момент цифровыми сертификатами, чтобы установка проходила максимально незаметно для пользователя. А цифровые сертификаты, это…


И так далее. Так как книга основана на многочисленных интервью с исследователями, Ким Зеттер в итоге переносит значительную часть фактов в сноски, они подчас занимают не меньше места, чем относящаяся к ним глава. В дальнейшем в книге практически вся зубодробительная фактология находится там: вам предоставляется выбор, читать целиком или пропускать уточнения. В последнем случае восприятие сюжета не страдает, а благодаря сноскам с огромным количеством ссылок на источники книга оказывается одинаково привлекательной и для технарей, и для, кхм, гуманитариев.

Зиро-дей

Для заражения Stuxnet использовал уязвимость нулевого дня в операционных системах Windows — на момент обнаружения (июль 2010 года, бюллетень на Technet) ей были подвержены все актуальные версии от XP до 7, 32-х и 64-битные (Stuxnet атаковал только 32-битные ОС). Уязвимость позволяла запустить вредоносный код с помощью подготовленного файла .LNK или .PIF — если таковой был помещен на флешку, то уязвимость активировалась автоматически. Именно такой тип уязвимости позволил атаковать индустриальную систему критической важности, которая как правило (но не в обязательном порядке) изолирована от сети. Впоследствии наши эксперты опубликовали анализ первых жертв Stuxnet, через которые вероятно были проведены успешные попытки добраться до главной цели. Анализ стал возможен благодаря сохранению внутри вредоносного кода информации о ранее атакованных системах.


Аттрибуция

А вот аттрибуция в процессе анализа кода — штука интересная. В качестве одного из первых примеров приводится строчка из кода Stuxnet:

Последователи

Мнимая сложность критической инфраструктуры

Понять, что именно является основной целью Stuxnet было непросто — у исследователей просто не было опыта работы со SCADA-системами. В книге подробно описывается, как именно анализировалась эта часть кода: Stuxnet в случае заражения системы с определенным ПО мог управлять контроллерами строго указанной модели, и таким образом изменял скорость вращения центрифуг (предположительно) на объекте в Иране так, что они выходили из строя от чрезмерной нагрузки. Подробно логика работы Stuxnet в этом направлении была исследована специалистами компании Symantec (отчет в PDF). Интересно, что для детектирования атаки и защиты компьютеров даже в условиях отсутствия (в течение нескольких недель) патча для уязвимостей от Microsoft, знать, что именно делает Stuxnet, было не обязательно. Такая информация важна только в контексте подготовки к отражению будущих атак подобного типа.

Ким Зеттер посвящает отдельную главу безопасности промышленных IT-систем в целом. Приводятся примеры, хотя и несравнимые по масштабу со Stuxnet, саботажа подобных объектов с помощью вредоносного кода или путем перехвата систем управления. О том, что индустриальная инфраструктура уже достаточно компьютеризирована, чтобы быть уязвимой, но все еще недостаточно защищена, было известно давно. Увы, нельзя сказать, что Stuxnet радикально и бесповоротно изменил ситуацию к лучшему: очень часто операторы критически важных объектов полагаются на изоляцию систем управления, и на сложность проприетарных протоколов. Есть и объективные сложности: длительный цикл работы оборудования, специфические требования к железу и софту, принадлежность промышленных IT-систем и традиционной компьютерной инфраструктуры к разным командам в рамках одной компании, и неизбежные проблемы на стыках. Впрочем, Stuxnet явно привлек внимание исследователей в области кибербезопасности к проблеме: начиная с 2012 года, по данным нашего отчета, число обнаруженных и закрытых уязвимостей в специализированном ПО значительно выросло. С другой стороны, в том же отчете показано, как поиск через Shodan в этом году позволяет обнаружить более 180 тысяч хостов с элементами SCADA-систем, напрямую доступных через сеть.

Выводы

— Авторы даже самых совершенных кибератак делают ошибки. Скорее всего в результате ошибочного действия на определенном этапе произошло массовое заражение тысяч систем в разных странах, которое и позволило заметить и проанализировать вредоносный код (впрочем, есть версия, что это было сделано намеренно). Более того, впервые сэмпл Stuxnet был обнаружен благодаря жалобе на компьютер, который постоянно перезагружался — в процессе заражения что-то пошло не так. Здесь кроется и опасность разработки опасного кибероружия: методы атаки рано или поздно становятся широко известными, а инструменты могут попасть не в те руки.

— Нельзя полагаться на сложность систем и протоколов. Концепция security through obscurity (безопасности через неизвестность) была окончательно признана неэффективной как раз благодаря Stuxnet. Да, для разработки этой атаки потребовалось много сил и средств (по некоторым оценкам — от 5 до 30 разработчиков и минимум 6 месяцев работы), и да, поначалу исследователи столкнулись со сложностями в анализе специализированного кода для АСУТП. Параллельный опыт анализа атак на финансовые системы начиная с прошлого года показывает, что даже самые сложные системы могут быть взломаны, а контроль над ними — использован для нанесения ущерба.

— История сложных и максимально деструктивных кибератак с обнаружением Stuxnet не закончилась, а только началась. Наша карта продвинутых атак является наглядным тому доказательством. Хотя кража информации является приоритетной целью атакующих, забывать о защите индустриальных систем и критической инфраструктуры нельзя — хотя бы потому, что даже единичные успешные операции на таких объектах могут привести к огромному ущербу. Несмотря на сложность промышленных систем, нужны ресурсы для их исследования с точки зрения безопасности и адекватные методы защиты.

— И, наконец, быть исследователем киберугроз — это круто. Книга Ким Зеттер — редкий случай, когда помимо строчек кода и выводов в доступной форме показана работа экспертов по безопасности на примере вполне реальной атаки. Такую деятельность очень трудно описать популярно, но, учитывая количество угроз и их сложность, максимальное проникновение цифровых систем в нашу повседневную жизнь, нужно это делать больше и чаще.

image

Хакерский мир можно условно разделить на три группы атакующих:

Может ли кто-то с хорошими навыками в программировании стать последним? Не думаю, что вы начнете создавать что-то, на подобии regin (ссылка) после посещения нескольких сессий DEFCON. С другой стороны, я считаю, что сотрудник ИБ должен освоить некоторые концепты, на которых строится вредоносное ПО.

Зачем ИБ-персоналу эти сомнительные навыки?

Знай своего врага. Как мы уже обсуждали в блоге Inside Out, нужно думать как нарушитель, чтобы его остановить. Я – специалист по информационной безопасности в Varonis и по моему опыту – вы будете сильнее в этом ремесле если будете понимать, какие ходы будет делать нарушитель. Поэтому я решил начать серию постов о деталях, которые лежат в основе вредоносного ПО и различных семействах хакерских утилит. После того, как вы поймете насколько просто создать не детектируемое ПО, вы, возможно, захотите пересмотреть политики безопасности на вашем предприятии. Теперь более подробно.

Кейлогер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.
Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлогеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.

Тем не менее создать базовые функции кейлогера достаточно легко запрограммировать. ПРЕДУПРЕЖДЕНИЕ. Если вы хотите попробовать что-то из ниже следующего, убедитесь, что у вас есть разрешения, и вы не несёте вреда существующей среде, а лучше всего делать это все на изолированной ВМ. Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлогер стойким к перезагрузкам или пытаться сделать его абсолютно не обнаружимым благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.

Вы можете изучить больше про фунцию GetAsyncKeyState на MSDN:

Для понимания: эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:

Умный кейлогер

Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?
Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлогеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.

Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.

Вторая версия кода:

Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.

Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.

Еще более умный кейлогер

Давайте предположим, что злоумышленник смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.

Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:

Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.

Бесплатно и полностью не обнаружим

В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлогера за 30 минут.
Если бы я был реальным злоумышленником, то я бы целился на какую-то реальную цель (банковские сайты, соцсети, тп) и видоизменил код для соответствия этим целям. Конечно, также, я запустил бы фишинговую кампанию с электронными письмами с нашей программой, под видом обычного счета или другого вложения.

Остался один вопрос: действительно такое ПО будет не обнаруживаемым для защитных программ?

Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.

image

В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим. На этой странице вы можете ознакомиться с полным анализом.

Основная цель этой статьи – показать, что используя одни только антивирусы вы не сможете полностью обеспечить безопасность на предприятии. Нужен более глубинная оценка действий всех пользователей и даже сервисов, чтобы выявить потенциально вредоносные действия.

В следующих статья я покажу, как сделать действительно не обнаружимую версию такого ПО.

Читайте также: