你好,GT! 动物园里的各种病毒每年都在增长,想像不到的好处就是不会占据它们的创造者。 当然,防病毒软件还可以成功应对多种最常见的恶意软件,甚至包括其免费版本或内置于操作系统本身的恶意软件。 我们至少了解了如何处理流行的勒索软件(在知名的反病毒公司的网站上,有一个部分提供解密或生成代码的服务,如果您知道恶意软件的作者要求向其转移资金的钱包或电子邮件)。
普通病毒会在受感染的计算机上留下痕迹-一些可疑的可执行文件,库文件,或防病毒或正确的管理员可以检测到的少量恶意代码。 查找和识别此类痕迹有助于识别病毒,这意味着将其清除并最大程度地减少了后果。
但是剑与盾的对立是永恒的事情,并且计算机恶意软件不仅限于那些在驱动器上留下痕迹的恶意软件。 确实,如果病毒位于并且仅在RAM内部起作用而没有接触硬盘驱动器或SSD,那么它也不会留下任何痕迹。
2014年,有一系列有关所谓的RAM恶意软件的新闻,但后来它属于受影响设备的一小部分-付款终端。
交易数据被视为受保护的,因为它以加密的形式存储在支付系统的服务器上。 但是在很短的时间内,用于付款授权的信息以纯文本格式存储。 而且,它被存储在支付终端的RAM中。
当然,对于黑客来说,这件东西似乎太好吃了,恶意软件进入了世界,从RAM POS终端收集信息-卡号,地址,安全代码和用户名。
然后有人决定走得更远,记住计算机也有RAM。
仅RAM
2017年2月,卡巴斯基实验室发布了一份报告,指出这种恶意软件感染了40个国家/地区的电信公司,银行和政府机构中的计算机。
在这种情况下如何感染机器:
- 恶意软件会绕过硬盘直接在RAM中注册自己
- 因此,在安全检查期间无法检测到它
- 为了在内存中注册恶意软件,攻击者使用了流行的管理工具-PowerShell,Mimikatz,Metasploit
- 为了进行数据传输,使用了在加蓬,中非共和国和马里等国家的国家域上创建的站点。 其域的特征在于,在特定域的续订期到期后,它们不会保存谁拥有特定域的WHOIS信息。 也就是说,另一个缺点是以某种方式跟踪攻击者的机会。
网络犯罪分子设法收集有关系统管理员登录名和密码的数据,这使得将来可以管理受感染的主机。 显然,有了这种控制受感染计算机的能力,您可以执行很多不是最合法的操作,但是此类攻击的主要方向是ATM的“挤奶”。
很难找到这种病毒,因为它们以通常的形式确实不会留下任何痕迹。 没有已安装的应用程序。 没有单独的文件分散在不同的文件夹中,包括系统文件或隐藏文件。
但是他们在哪里留下痕迹?
当然,如果病毒在驱动器上未留下任何痕迹,则寻找它们毫无意义。 然后呢? 没错-注册表,内存转储和网络活动。 他有必要以某种方式将自己注册到内存中(并以使其即使在重新启动计算机后仍可操作的方式),然后以某种方式将数据传输到攻击者的服务器。
卡巴斯基实验室的专家仔细分析了受感染计算机的内存转储和注册表项,并使用Mimikatz和Meterpreter重建了攻击。
使用Meterpreter从adobeupdates.sytes [。] Net下载的代码片段Metasploit框架生成的脚本。
分配所需的内存量,使用WinAPI并将Meterpreter实用程序直接加载到RAM中。值得害怕吗
一方面-当然可以。 该病毒无论可能是什么,都不旨在使您的计算机工作更舒适。
另一方面,它不如普通病毒和相同的勒索软件那么强大(但还不那么强大)。 仅仅是因为目前这种攻击的主要目标是金融机构,而不是普通用户。
但是谁知道在不久的将来会多久创建和使用一次此类恶意软件。
我们提醒您,春季不仅是在树上的传单上更新,而且是在办公桌下的系统单元上更新的好时机。 特别是为此,金士顿在合作伙伴商店有促销活动。 例如,在4月15日之前的DNS网络中,您可以以折扣价购买Kingston SO-DIMM RAM,详细信息在
这里 。 在Yulmart,
行动将持续到4月18日,使用
KINGMEM促销代码的用于计算机和笔记本电脑的Kingston和HyperX内存模块将有
特价 。 并且在4月7日之前在Citylink商店中,
折扣适用于几种类型的RAM,一次,记住记住促销代码
DDR3HX也很重要。 因此,急于寻求新的内存并进行盈利升级是有意义的。
有关金士顿和HyperX产品的更多信息,请访问
公司的官方
网站 。