IT обозрение
Понедельник, 7 июля, 2025
No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
No Result
View All Result
IT обозрение
No Result
View All Result
Home Новости

Шпионская программа крадет данные из ПК, неподключенных к Сети

03.06.2020
A A
0
Share on FacebookShare on Twitter

Вредонос Ramsay проникает на изолированные компьютерные системы с помощью переносных носителей и с их же помощью выводит данные оттуда. Программа, вероятнее всего, находится в стадии активной разработки.

Программа в разработке

ЭТО ИНТЕРЕСНО

Рецензия на сериал «Железное сердце» / Ironheart

Рецензия на сериал «Железное сердце» / Ironheart

07.07.2025
Nio выпустила электрокроссовер Onvo L90: 6 мест, холодильник, 600 км пробега менее чем за $42 тыс.

Nio выпустила электрокроссовер Onvo L90: 6 мест, холодильник, 600 км пробега менее чем за $42 тыс.

06.07.2025

Эксперты компании ESET обнаружили новый вредоносный набор, который способен, среди прочего, выводить данные из изолированных полностью отключенных от интернета систем. Вредонос под названием Ramsay является довольно продвинутой шпионской программой, которая проникает на изолированные системы через переносные накопители и загодя инфицированные файлы документов. Для этого эксплуатируются старые уязвимости в Microsoft Word.

Главный предмет интереса для Ramsay также составляют документы: он ищет, архивирует и ждет возможности скопировать на внешний носитель файлы Word, а также — в более новых версиях — PDF и ZIP-архивы.

Исследователи ESET утверждают, что вредонос находится в стадии активной разработки. К настоящему времени выявлены три варианта, самый ранний из которых датирован сентябрем 2019 г., а два других мартом 2020 г.

Работа с документами

Первичное заражение производится через вредоносные документы, эксплуатирующие уязвимости CVE-2017-0199 и CVE-2017-11882. Самая новая версия распространяется также через поддельный инсталлятор архиватора 7-Zip.

Схема заражения выглядит следующим образом. Компонент, обозначенный как Spreader («распространитель»), присутствующий только в версии 2.a, ведет себя крайне агрессивно, вплоть до того, что может заражать все исполняемые файлы на целевых приводах. По всей видимости, это делается с прицелом на максимальный охват.

Два других варианта ведут себя не так агрессивно, и, вероятно, предназначены для более узконаправленных операций. Все варианты Ramsay собирают документы Word по всему диску зараженной машины, а также сканируют PDF и ZIP-файлы на доступных сетевых дисках и съемных накопителях.

Все найденные файлы сбрасываются в «предварительную» папку, шифруются алгоритмом RC4 и архивируются с помощью WinRAR (инсталлятор для него Ramsay «приносит с собой»). Из этого архива генерируется контейнер, где к сжатым файлам добавляются идентификационные значения и накладывается еще один слой шифрования.

Этот архив затем добавляется к произвольному файлу Microsoft Word с расширением .doc из числа найденных на дисках. Сами файлы при этом сохраняют целостность данных — их основное содержание можно читать и редактировать без всяких проблем.

Доставка по назначению

Поскольку одно из основных назначений Ramsay — работать в изолированных системах, стандартный для вредоносов-шпионов метод прямого обмена данными с контрольным сервером через сеть тут не срабатывает. Однако, как выяснили эксперты, локальная копия Ramsay на изолированной системе целенаправленно ищет в системе и на съемных приводах файлы Word, которые содержат инструкции. То есть, по-видимому, сперва производится компрометация компьютерной системы, которой пользуется человек, имеющий также доступ к изолированным машинам, и использующий съемные носители для обмена данными с ними.

Экспертам ESET, впрочем, не удалось пока найти сам компонент или компоненты, которыеотвечают за получение с удаленных ресурсов команд для локальных копий Ramsay в изолированных системах и производят загрузку украденных данных.

«В принципе, это единственный способ выводить данные из изолированных систем — использовать вредоносную программу, незаметно загружающую интересующие ее создателей данные на съемное устройство, которое затем будет подключено к машине с интернет-доступом, — считает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. — Разработчикам такого вредоноса остается только удостовериться, что деятельность программы будет максимально незаметной, а перемещение файлов не вызовет ни у кого подозрений. Уже сейчас Ramsay вполне, судя по всему, справляется с этими задачами. Более новые версии могут оказаться еще более скрытными».

Возможная связь с DarkHotel… и советской разведкой

Происхождение Ramsay пока остается загадкой. С одной стороны, есть косвенные признаки, связывающие Ramsay с бэкдором Retro, которым пользовалась корейская APT-группировка DarkHotel: оба вредоноса используют один и тот же API для генерации уникального идентификатора для заражённых машин, и один и тот же алгоритм для его шифрования.

Плюс оба вредоноса формируют логи с одинаковой номенклатурой и используют одни и те же инструменты с открытым кодом для повышения привилегий и установки некоторых своих компонентов. Кроме того, во вредоносных документах присутствуют языковые метаданные в виде корейского слова, означающего «заголовок». Но этого недостаточно, чтобы однозначно проассоциировать Ramsay с DarkHotel, считают в ESET.

Само название встретилось в двоичном коде вредоноса. И хотя первая возникающая сегодня ассоциация — это Рамси Болтон (Ramsay Bolton), персонаж «Игры престолов», скорее всего, подразумевалось «Рамзай», кодовое имя советского разведчика Рихарда Зорге, работавшего в Японии во время Второй мировой войны и там же погибшего.

Тем более, что первый вариант вредоноса, который удалось обнаружить специалистам ESET, был загружен на VirusTotal как раз из Японии.

Источник: cnews.ru

Читайте так-же

Рецензия на сериал «Железное сердце» / Ironheart
Новости

Рецензия на сериал «Железное сердце» / Ironheart

07.07.2025
0

1 июля платформа Disney+ выкатила последние три из шести эпизодов супергеройского сериала «Железное сердце», который закрывает Пятую фазу киновселенной Marvel...

Read more
Nio выпустила электрокроссовер Onvo L90: 6 мест, холодильник, 600 км пробега менее чем за $42 тыс.

Nio выпустила электрокроссовер Onvo L90: 6 мест, холодильник, 600 км пробега менее чем за $42 тыс.

06.07.2025
Геймер превратил авто Honda CR-V в контроллер для Need for Speed Underground

Геймер превратил авто Honda CR-V в контроллер для Need for Speed Underground

06.07.2025
ИИ ChatGPT сел за штурвал космического корабля — что из этого вышло?

ИИ ChatGPT сел за штурвал космического корабля — что из этого вышло?

06.07.2025
Первый тизер Cyberpunk: Edgerunners 2 / «Киберпанк: Бегущие по краю II» — CD Projekt RED и Netflix анонсировали второй сезон

Первый тизер Cyberpunk: Edgerunners 2 / «Киберпанк: Бегущие по краю II» — CD Projekt RED и Netflix анонсировали второй сезон

06.07.2025

ТОП НОВОСТИ

Рецензия на сериал «Железное сердце» / Ironheart

Рецензия на сериал «Железное сердце» / Ironheart

07.07.2025
Астрономы подтвердили: загадочный объект 3I/ATLAS прибыл из центра галактики

Астрономы подтвердили: загадочный объект 3I/ATLAS прибыл из центра галактики

06.07.2025
Nio выпустила электрокроссовер Onvo L90: 6 мест, холодильник, 600 км пробега менее чем за $42 тыс.

Nio выпустила электрокроссовер Onvo L90: 6 мест, холодильник, 600 км пробега менее чем за $42 тыс.

06.07.2025
Инженер из Индии обманул Кремниевую долину, одновременно работая в четырех стартапах

Инженер из Индии обманул Кремниевую долину, одновременно работая в четырех стартапах

06.07.2025
Геймер превратил авто Honda CR-V в контроллер для Need for Speed Underground

Геймер превратил авто Honda CR-V в контроллер для Need for Speed Underground

06.07.2025

ПОПУЛЯРНОЕ

  • Summer Game Fest 2025 стал самым просматриваемым шоу в истории мероприятия

    Summer Game Fest 2025 стал самым просматриваемым шоу в истории мероприятия

    0 shares
    Share 0 Tweet 0
  • Патч для MindsEye, который делает врагов умнее, вышел на консолях, но не на ПК

    0 shares
    Share 0 Tweet 0
  • Новый патч для ПК-версии Stellar Blade добавил карточки и фоны в Steam и разблокировал сложный режим

    0 shares
    Share 0 Tweet 0
  • Ryzen 5 1500X, GTX 970 и 2 ГБ свободного места — объявлены системные требования ремейка Postal 2

    0 shares
    Share 0 Tweet 0
  • Ryzen 7 7700X, RTX 3060 и всего 20 ГБ свободного места — опубликованы системные требования Killing Floor 3

    0 shares
    Share 0 Tweet 0
  • Реклама
  • Контакты
  • Политика конфиденциальности
Реклама: digestmediaholding@gmail.com

Использование любых материалов сайта разрешается при условии ссылки на itoboz.com
Интернет-СМИ должны использовать открытую для поисковых систем гиперссылку. Ссылка должна размещаться в подзаголовке или в первом абзаце материала. Редакция может не разделять точку зрения авторов статей и ответственности за содержание републицируемых материалов не несет.

© 2010-2025 IT новости. All Rights reserved

No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта

Использование любых материалов сайта разрешается при условии ссылки на itoboz.com
Интернет-СМИ должны использовать открытую для поисковых систем гиперссылку. Ссылка должна размещаться в подзаголовке или в первом абзаце материала. Редакция может не разделять точку зрения авторов статей и ответственности за содержание републицируемых материалов не несет.

© 2010-2025 IT новости. All Rights reserved

wpDiscuz