После событий, связанных с вирусными атаками WannaCry и Petya, Microsoft начала масштабную работу над встроенным антивирусом Windows Defender для ОС Windows 10. Последнее время компания массово призывает пользователей обновляться до последней версии операционной системы, что связано с доработкой Защитника Windows, который обеспечивает отличную защиту от вредоносных программ.
Как сообщается на официальном блоге Microsoft, несколько дней назад была предотвращена масштабная вирусная атака, связанная с распространением скрытого майнера. Пользователи, установившие обновления, оказались недоступны для трояна.
Сотрудники компании заметили быстрое распространение троянской программы Dofoil. Основной ее задачей был скрытый майнинг криптовалюты на компьютере жертвы. Первая волна 6 марта насчитывала 80 000 попыток проникновения на ПК пользователей, а вторая – 400 000 попыток. В Windows утверждают, что атаку удалось полностью заблокировать.
В статистике сказано, что 73% обнаруженных вирусов находилось в России, 18% в Турции и 4% в Украине.
Схема работы трояна
Dofoil, после проникновения на устройство, встраивался в системный процесс “explorer.exe”. После этого начинался процесс майнинга криптовалюты Electroneum. Обнаружить вирус обычному пользователю почти невозможно, ведь он отлично замаскирован под стандартный процесс.
В сообщении Microsoft сообщается:
“Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс “explorer.exe” создает копию оригинального вредоносного ПО в папке “Roaming AppData” и переименовывает ее в “ditereah.exe”. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.
Зараженный “explorer.exe” создает и запускает файл “D1C6.tmp.exe” (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке “Temp”. “D1C6.tmp.exe” создает и запускает копию самого себя под названием “lyk.exe”. После запуска “lyk.exe” подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin.
Он затем пытается подключиться к C&C серверу “vinik.bit” внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.”
Оставайся в безопасности с Windows 10
Многоуровневый подход Windows Security Defender к безопасности (используются алгоритмы обнаружения поведения, генерики и эвристики, основанной на поведении, а также модели машинного обучения) обеспечивает защиту в реальном времени от новых угроз. Windows 10 позволяет максимально обезопасить компьютер от вредоносного ПО, что становится еще одной причиной для обновления с более старой версии.