Olá GT! O zoológico de todos os tipos de vírus está crescendo a cada ano, o benefício da imaginação é não ocupar seus criadores. É claro que os antivírus lidam com sucesso com vários malwares mais comuns, além disso, até com suas versões gratuitas ou com o próprio sistema operacional. Aprendemos a lidar com ransomware popular, no mínimo (há uma seção nos sites de empresas antivírus conhecidas com serviços para descriptografar ou gerar código, se você conhece uma carteira ou e-mail para o qual os autores do malware solicitam a transferência de fundos).
Vírus comuns deixam rastros na máquina infectada - alguns arquivos executáveis suspeitos, arquivos de biblioteca ou apenas alguns pedaços de código malicioso que o antivírus ou o administrador certo pode detectar. Encontrar e identificar esses rastros ajuda a identificar o vírus, o que significa removê-lo e minimizar as conseqüências.
Mas a oposição da espada e do escudo é uma coisa eterna, e o malware do computador não se limita àqueles que deixam rastros nas unidades. De fato, se o vírus estiver localizado e agir apenas dentro da RAM, sem tocar no disco rígido ou no SSD, ele também não deixará vestígios.
Em 2014, houve uma série de notícias sobre o chamado malware de RAM, mas depois pertencia a um grupo bastante restrito de dispositivos afetados - aos terminais de pagamento.
Os dados da transação são considerados protegidos, pois são armazenados de forma criptografada nos servidores dos sistemas de pagamento. Mas há um período muito curto de tempo durante o qual as informações para autorização de pagamento são armazenadas em texto sem formatação. Além disso, ele é armazenado na RAM do terminal de pagamento.
Obviamente, essa peça parecia muito saborosa para hackers passarem e o malware veio ao mundo, coletando informações dos terminais RAM POS - números de cartões, endereços, códigos de segurança e nomes de usuário.
E então alguém decidiu ir mais longe, lembrando que os computadores também têm RAM.
Somente RAM
Em fevereiro de 2017, a Kaspersky Lab divulgou um relatório informando que esse malware infectava computadores em empresas de telecomunicações, bancos e agências governamentais em 40 países.
Como está a infecção da máquina neste caso:
- o malware se registra diretamente na RAM, ignorando os discos rígidos
- por isso, durante uma verificação de segurança, ele não pode ser detectado
- para registrar o malware na memória, os atacantes usavam ferramentas administrativas populares - PowerShell, Mimikatz, Metasploit
- Para a transferência de dados, foram utilizados sites criados nos domínios nacionais de países como Gabão, República Centro-Africana e Mali. Seus domínios são caracterizados por não salvarem informações WHOIS sobre quem possuía um domínio específico após o término do período de renovação. Ou seja, outro ponto negativo é uma oportunidade de rastrear de alguma forma o invasor.
Os cibercriminosos conseguiram coletar dados nos logins e senhas dos administradores de sistema, o que tornou possível administrar um host infectado no futuro. E está claro que, com essa capacidade de controlar o computador infectado, você pode executar muitas das ações não mais legítimas, mas a principal direção desses ataques é a "ordenha" dos caixas eletrônicos.
É difícil encontrar esses vírus, porque, na sua forma usual, eles realmente não deixam vestígios. Não há aplicativos instalados. Não há arquivos separados espalhados em pastas diferentes, incluindo o sistema ou ocultos.
Mas onde eles deixam vestígios em algum lugar?
Obviamente, se o vírus não deixa rastros nas unidades, não faz sentido procurá-las. E depois o que? É isso mesmo - o registro, despejos de memória e atividade de rede. É necessário que ele se registre de alguma forma na memória (e de modo a permanecer operacional mesmo após a reinicialização da máquina) e depois transfira os dados para o servidor do invasor.
Os especialistas da Kaspersky Lab analisaram cuidadosamente os despejos de memória e as entradas do registro de máquinas infectadas e, usando o Mimikatz e o Meterpreter, eles foram capazes de reconstruir o ataque.
Um trecho de código baixado usando o Meterpreter do adobeupdates.sytes [.] NetUm script gerado pela estrutura Metasploit.
Aloca a quantidade necessária de memória, usa o WinAPI e carrega o utilitário Meterpreter diretamente na RAM.Vale a pena temer
Por um lado - certamente sim. O vírus, qualquer que seja, não visa tornar o computador mais confortável.
Por outro lado, não é tão forte (ainda não tão forte) quanto os vírus comuns e o mesmo ransomware. Se apenas porque, no momento, o principal objetivo de tais ataques são instituições financeiras, e não usuários comuns.
Mas quem sabe com que frequência esse malware será criado e usado em um futuro próximo.
Lembramos que a primavera é uma ótima ocasião para ser atualizada não apenas nos folhetos das árvores, mas também nas unidades do sistema sob sua mesa. Especialmente para isso, a Kingston tem promoções em lojas parceiras. Por exemplo, na rede DNS até 15 de abril, você pode comprar a Kingston SO-DIMM RAM com desconto, os detalhes estão
aqui . No Yulmart, uma
ação ocorre até 18 de abril e existem preços especiais para os módulos de memória Kingston e HyperX para computadores e laptops usando o código promocional
KINGMEM . E nas lojas Citylink até 7 de abril, os
descontos se aplicam a vários tipos de RAM ao mesmo tempo, e também é importante lembrar de inserir o código promocional -
DDR3HX . Portanto, faz sentido se apressar para obter uma nova memória e atualizar com lucro.
Para obter mais informações sobre os produtos Kingston e HyperX, visite
o site oficial
da empresa .