Развивая тему предыдущей новости, речь снова пойдёт о приложениях-вымогателях. В апреле число зафиксированных атак с их стороны оказалось в США максимальным за всё время наблюдений, рост с марта составил 158,87%.

Доклад от выпускающей антивирусы для ПК компании Enigma Software говорит, что для анализа рассматривались более 65 млн. случаев инфицирования приложений, зафиксированных в США с апреля 2013 года. Страдают от вымогателей не только организации, но и обычные пользователи.

Приложения-вымогатели в последние годы становятся всё распространённее. В нынешнем марте впервые приложение такого рода появилось на платформе Apple Mac OS X. Неоднократно жертвами атак становились больницы и другие учреждения, работа которых зависит от доступа к файлам.

Enigma Software пишет, что пользователи никогда не должны платить вымогателям или передавать им свои персональные данные. Также даётся ряд подсказок для защиты от инфицирования: регулярно выполнять резервное копирование данных, обновлять программное обеспечение, не переходить по ссылкам и не открывать файлы из неизвестных источников.

Новое приложение-вымогатель от группы под названием Charity Team пытается убедить пользователей заплатить выкуп за зашифрованные файлы, обещая пожертвовать часть денег на детскую благотворительность. Исследователи из компании Heimdal Security обнаружили данное приложение на прошлой неделе, однако MalwareHunterTeam говорит о его появлении более месяца назад. Колумбийский исследователь под ником Nyxbone рассмотрел программу более пристально и увидел сочетание других семейств вымогателей, таких как CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. По этой причине новинка получила название CryptMix.

Заражение происходит через спам со ссылкой на вредоносные сайты. На них находятся эксплоиты, задействующие уязвимости браузеров и их плагинов для установки CryptMix. Когда вымогатель попадает на компьютер, процесс шифрования файлов начинается автоматически. Приложение отличается большим размахом, шифруя файлы 862 типов, после к их имени добавляется расширение .code. Затем отображается текстовое сообщение с информацией относительно выкупа. Там говорится об использовании алгоритма шифрования RSA-2048 и даётся два адреса электронной почты для связи -xoomx[@]dr.com и xoomx[@]usa.com.

В ответ на письмо пользователь получает ссылку и пароль к сервису One Time Secret, который отображает защищённые паролями сообщения. Здесь находится сообщение от автора CryptMix, который за восстановление файлов просит «скромную» сумму в 5 биткоинов (что на данный момент примерно равно $2200 или 145 тысяч рублей).

Помимо «пряника» в виде детской благотворительности есть и «кнут» - через 24 часа сумму выкупа обещается увеличить вдвое. Далее автор обещает «три года бесплатной техподдержки». На данный момент методы расшифровать зашифрованные CryptMix файлы отсутствуют.

Специалисты из компании McAfee сообщают, что обнаружили в магазине приложений Google Play Store десятки инфицированных вредоносным кодом приложений. Приложения стали жертвами Android/Clicker.G, а целью являются исключительно российские пользователи.

У наиболее популярного из пострадавших приложений число скачиваний не превышало пяти тысяч, при этом программы обладали работающим интерфейсом и положительными отзывами. Все приложения выложены пользователем с ником goasez. Попав на Android-устройства, через шесть часов приложения начинали проявлять актвиность. McAfee классифицирует Android/Clicker.G как рекламное ПО (adware). Каждые две минуты выскакивает окно с рекламой или с предложением скачать обновление системы или другие приложения с сервиса update-sys-android[.]com. Авторы не слишком стараются скрывать свою деятельность, не шифруя и не усложняя код.

McAfee не сообщает, как удалось обойти механизмы безопасности Google и автоматический сканнер Bouncer. К настоящему времени описываемые приложения удалёны из магазина.

Это не первый раз, когда вредоносное ПО обходит механизмы защиты магазина Google. Доклад безопасности Google Android 2015 говорит, что 0,15% приложений магазина содержали вредоносный код. В конце апреля компания PhishLabs нашла в магазине Play Store одиннадцать охотящихся за финансовой информацией пользователей приложений. Чуть ранее компания Dr.Web обнаружила 104 программы типа spyware с Android.Spy.277.

Используемый миллионами веб-сайтов инструмент обработки изображений содержал в себе ряд критических уязвимостей, способных дать хакерам доступ к веб-серверам. Эксплоиты для этих уязвимостей уже созданы, в отличие от патчей. Обнаружил уязвимости Николая Ермишкин из команды безопасности Mail.Ru, об их существовании уже были поставлены в известность разработчики ImageMagick, попытавшиеся выпустить патч в версии 6.9.3-9 30 апреля. Патч оказался неполным и уязвимости по-прежнему существуют.

Есть сведения о том, что кроме исследователей и разработчиков из ImageMagick о существовании уязвимостей известно и другим людям. Уязвимости можно задействовать для загрузки вредоносных изображений на использующие ImageMagick сайты. Далее становится возможным удалённое выполнение кода, распространение вредоносного ПО, кража данных пользователей и взлом доменов.

ImageMagick представляет собой утилиту командной строки для создания, редактирования и конвертации файлов изображений во множестве форматов. Её библиотека служит базой для плагинов вроде PHP imagick, Ruby rmagick и papercli, Node.js imagemagick. Исследователи в качестве доказательства разработали собственный эксплоит.

Набор уязвимостей получил название ImageTragick, был создан сайт с советами для разработчиков и администраторов сайтов, которым необходимо следовать, пока не появится патч.

В марте в браузере Opera появилась бета-версия блокиратора рекламы, а теперь финальный вариант доступен в браузере на платформах Windows, Linux, Mac OS X и Android. На мобильных операционных системах это один из немногих браузеров со встроенным блокиратором. Opera обещает, избавившись от рекламы, сделать браузер быстрее на всех платформах и сократить расход оперативной памяти. Собственная статистика разработчиков говорит о производительности браузера на 45% больше по сравнению с Google Chrome, где используются только сторонние средства блокировки рекламы.

По умолчанию блокиратор выключен и включается в настройках в разделе конфиденциальности и безопасности. Также появился инструмент, позволяющей сравнивать скорость загрузки страниц с рекламой и без (обещана разница на 89%). Тестирование на ПК велось на процессоре AMD Phenom II X6, 8 Гб памяти и 64-разрядной Windows 10, 66 сайтов загружались по 10 раз, измерением скорости занимался сервис WebDriver.

Также было анонсировано расширение-блокиратор для браузера Edge под названием CatBlock. Инсайдеры могут опробовать его в предварительных сборках Windows 10 от 14291 и новее.

В прошлом году в системе Apple iOS 9 была открыта поддержка блокираторов рекламы, после чего появилось множество сторонних приложений; Samsung встроила блокиратор в свой браузер на Android (после чего Google прикрыла его); бывший глава компании Mozilla представил браузер с блокиратором, а Adblock Plus на днях анонсировала сервис для пожертвований веб-сайтам, призванный компенсировать падение доходов от рекламы.