Вірус-здирник потрапляє на комп'ютери через пошук Google

Про це повідомляє cybersecurity.ru.

«Раніше інфікування цією програмою здійснювалося за допомогою наявних на комп'ютері вразливостей додатків або операційної системи», - йдеться в повідомленні.

З кінця вересня було зафіксовано велику кількість випадків завантаження цієї шкідливої програми за допомогою браузера. Експерти встановили, що посилання, які виводять на завантаження шкідливих файлів, належать Google. Це означає, що перед отриманням вірусу користувач ввів у Google-пошук якийсь запит і клікнув на одне з посилань у пошуковій видачі.

Згідно з результатами дослідження веб-сторінок, які ініціювали завантаження шкідливого коду, зловмисники використовували «темну пошукову оптимізацію» (Black Hat SEO), за допомогою якої просували спеціально створені шкідливі сторінки в топ видачі.

Перейшовши за таким посиланням, користувач перенаправляється на шкідливу сторінку й ініціює завантаження архіву, назва якого - для підвищення довіри користувачів - відповідає введеному в рядок пошуку тексту. Тобто один і той же архів буде завантажений з різними іменами, залежно від пошукового запиту.

Win32/Nymaim інфікує систему в два етапи. Потрапивши на комп'ютер, перший шкідливий файл здійснює приховане завантаження й запуск другого файлу, який, у свою чергу, також може завантажувати додаткове шкідливе ПЗ, а може і просто блокувати операційну систему для отримання викупу.

Цікаво, що сума викупу залежить від країни, де проживає жертва. У більшості зі знайдених екранів блокування ціна викупу становить близько $150. Однак користувачів із США просять заплатити за розблокування $300 доларів. В Румунії ж користувач "винен" лише $135.