עדכון חם! - התפרצות תוכנת כופר בAMMYY Admin

עשרים ושתים · 7/12/15

החל מאתמול באתר הרשמי של AMMYY admin הקליינט הרשמי שלהם מדביק מחשבים בתוכנת כופר.

.D.H.K · 7/12/15

מאתמול?

כל מי שעשה שימוש בתוכנה AMMYY Admin והוריד את הקליינט מהאתר הרשמי בסוף אוקטובר ותחילת נובמבר הוא בעל סבירות גבוהה להדבקה גם במחשב שלו וגם במחשבים אליהם הוא התחבר, כולל שרתים.

כתבה בESET
כתבה מתורגמת בכלכליסט

3 פינות · 8/12/15

מה יעשה מי שהוריד?
(חוץ מלגבות שזה תמיד טוב)

MySend · 8/12/15

נכתב ע"י עשרים ושתים;1884543:
החל מאתמול באתר הרשמי של AMMYY admin הקליינט הרשמי שלהם מדביק מחשבים בתוכנת כופר.

מה הפירוש תוכנת כופר?,

ומה הפתרון לזה?

עשרים ושתים · 8/12/15

נכתב ע"י meir165;1885220:
מה הפירוש תוכנת כופר?,

ומה הפתרון לזה?

תוכנת כופר זו תוכנה שמצפינה את הקבצים שלך במחשב - ורוצה כסף כדי לתת אותם בחזרה

הפתרון הוא לשמור גיבוי של הקבצים ולא לפתוח מיילים ממקור לא ברור.

עשרים ושתים · 8/12/15

נכתב ע"י .D.H.K;1884761:
מאתמול?

[/URL]

אתמול בא הכופר- עד אז זה רק היה סתם וירוסים מעצבנים.

.D.H.K · 8/12/15

נכתב ע"י עשרים ושתים;1885578:
אתמול בא הכופר- עד אז זה רק היה סתם וירוסים מעצבנים.

צודק, כנראה שיש עליהם מתקפה מתמשכת.
כתבה

פרסומון · 8/12/15

eset כבר מזמן מגלה את התוכנה שלהם כוירוס משום מה. עכשיו הבנתי למה.

.D.H.K · 8/12/15

נכתב ע"י פרסומון;1885899:
eset כבר מזמן מגלה את התוכנה שלהם כוירוס משום מה. עכשיו הבנתי למה.

זה מה שהם כותבים:

בשנים האחרונות מזהה ESET את הקליינט של AMMYY Admin בתור Potentially unsafe Application, שהיא קטגוריית זיהוי שמיועדת לתוכנות שהמטרה שלהן אינה זדונית, אולם הן משמשות פעמים רבות לתרמיות מקוונות וגם ככלי פריצה.

נשאלתי פעמים רבות ע"י המשווקים והלקוחות שלנו מדוע אנחנו מזהים את AMMYY Admin בצורה הזו, והסברתי תמיד שהכלי נמצא בשימוש נרחב על ידי האקרים ועבריינים אינטרנטיים, שמשתמשים בקליינט כדי להתחבר לתחנות או לשרתים של הקורבנות שלהם, ושהוא משולב פעמים רבות בנוזקות. עכשיו בפעם הראשונה משולבות הנוזקות בצורה שקטה בקליינט הרשמי של AMMY Admin.

בנוסף הכלי נמצא בשימוש בתרמיות טלפוניות כבר יותר מ 5 שנים, בהן מתחזים המתקשרים לנציגים טכניים של חברות מוכרות, או מפנים למספר הטלפון שלהם מתוך אימייל או אתר פישינג.

mat · 8/12/15

אפשר תאריך מדיוק. ממתי זה שונה לתוכנה עם כופר. ואם יש מישהו שיש לו את ה exe עם הכופר??
מה ה sha1 של התוכנה המקורית יש למישהו מושג??

פרסומון · 8/12/15

זה המקורי:
http://www.jumbomail.co.il/Downloads.aspx?sid=4463426A6F725A30332F493D

mat · 8/12/15

זה מה שהעלת.
https://www.virustotal.com/en-gb/fi...fe4baef51ae12353941e8b1532b231e6eac/analysis/

זה מה שהעלתי ב 8 בספטמבר. לאתר של נטפרי.
https://www.virustotal.com/en-gb/fi...4189deaeb5f8bcf0118f3d6484d0bdee9ed/analysis/

וזה עוד גירסה שמצאתי באינטרנט.
https://www.virustotal.com/en-gb/fi...1bfa97a334de49ce015cf65396125c13d20/analysis/

איך אפשר לדעת מה המקור. הדבר היחיד שאני רואה שהחתימה הדיגיטלית של מה שהעלתי שונה.

.D.H.K · 8/12/15

נכתב ע"י mat;1885979:
אפשר תאריך מדיוק. ממתי זה שונה לתוכנה עם כופר. ואם יש מישהו שיש לו את ה exe עם הכופר??
מה ה sha1 של התוכנה המקורית יש למישהו מושג??

ב- 24 שעות האחרונות הבחינו במחלקת התמיכה שלנו שגולשים שניסו להתקין את התוכנה לחיבור מרחוק מאתר Ammyy Admin נתקלו בניסיון להדבקה בתוכנת כופר המזוהה על ידי ESET כ- Filecoder.FJ.
כך מזוהה האיום על ידי ESET:
צפה בקובץ המצורף 267996

לפי ESET המתקפה על אתר Ammy Admin החלה ב- 26 לאוקטובר, והנוזקה הראשונה שהופצה באמצעותו הייתה Lurk Downloader - תוכנה זדונית שיודעת להסוות את עצמה בתמונות, ומשמשת להורדה של נוזקות נוספות למחשב לבחירת התוקפים. לאחר מכן, ב- 29 באוקטובר החל האתר להפיץ את הנוזקה CoreBot, שמשמשת בעיקר לגניבת מידע, אולם יכולה לשמש גם להורדה של תוכנות כופר.

בשלב הבא שולבו נוזקות נוספות שמשמשות בעיקר לגניבה של מידע פיננסי מחברות ראיית חשבון, או ממחלקת ראיית החשבון הפנימית בחברות וארגונים. נוזקות אלו יודעות גם לשלוף מידע אודות התוכנות מותקנות על המחשב ואתרים שבהם מבקר המשתמש, כדי לאסוף מידע מקדים על המשתמש, ולנסות לצפות האם המתקפה תהיה "רווחית".

לאחר יומיים נוספים שולבה נוזקה נוספת המכונה Rabbyus,;המסוגלת לגנוב פרטי כניסה אפילו לחשבונות בנק המוגנים באמצעות התקן אבטחה פיזי. ולבסוף שולבה נוזקה שמיועדת לגניבה של פרטי אשראי מחברות פיננסיות או קופות רושמות, ומסוגלת לפעול על מספר רב של מערכות הפעלה.

.D.H.K · 8/12/15

אולי יעזור לך
רשימה של הנוזקות שצורפו וכיצד הן מזוהות ע"י ESET
(פורסם באתר ESET ב- 11/11/2015)

צפה בקובץ המצורף 268000

פרסומון · 8/12/15

נכתב ע"י mat;1886017:
זה מה שהעלת.
https://www.virustotal.com/en-gb/fi...fe4baef51ae12353941e8b1532b231e6eac/analysis/

זה מה שהעלתי ב 8 בספטמבר. לאתר של נטפרי.
https://www.virustotal.com/en-gb/fi...4189deaeb5f8bcf0118f3d6484d0bdee9ed/analysis/

וזה עוד גירסה שמצאתי באינטרנט.
https://www.virustotal.com/en-gb/fi...1bfa97a334de49ce015cf65396125c13d20/analysis/

איך אפשר לדעת מה המקור. הדבר היחיד שאני רואה שהחתימה הדיגיטלית של מה שהעלתי שונה.

את מה שאני העליתי, הורדתי מהאתר שלהם בתאריך:
20/10/14
לפני תחילת המתקפה.

חצקל · 8/12/15

מה זה התוכנה AMMYY Admin?

תמים · 8/12/15

נכתב ע"י חצקל;1886066:
מה זה התוכנה AMMYY Admin?

תוכנה לשליטה מרחוק.

mat · 8/12/15

נכתב ע"י .D.H.K;1886019:
ב- 24 שעות האחרונות הבחינו במחלקת התמיכה שלנו שגולשים שניסו להתקין את התוכנה לחיבור מרחוק מאתר Ammyy Admin נתקלו בניסיון להדבקה בתוכנת כופר המזוהה על ידי ESET כ- Filecoder.FJ.
כך מזוהה האיום על ידי ESET:
צפה בקובץ המצורף 267996

לפי ESET המתקפה על אתר Ammy Admin החלה ב- 26 לאוקטובר, והנוזקה הראשונה שהופצה באמצעותו הייתה Lurk Downloader - תוכנה זדונית שיודעת להסוות את עצמה בתמונות, ומשמשת להורדה של נוזקות נוספות למחשב לבחירת התוקפים. לאחר מכן, ב- 29 באוקטובר החל האתר להפיץ את הנוזקה CoreBot, שמשמשת בעיקר לגניבת מידע, אולם יכולה לשמש גם להורדה של תוכנות כופר.

בשלב הבא שולבו נוזקות נוספות שמשמשות בעיקר לגניבה של מידע פיננסי מחברות ראיית חשבון, או ממחלקת ראיית החשבון הפנימית בחברות וארגונים. נוזקות אלו יודעות גם לשלוף מידע אודות התוכנות מותקנות על המחשב ואתרים שבהם מבקר המשתמש, כדי לאסוף מידע מקדים על המשתמש, ולנסות לצפות האם המתקפה תהיה "רווחית".

לאחר יומיים נוספים שולבה נוזקה נוספת המכונה Rabbyus,;המסוגלת לגנוב פרטי כניסה אפילו לחשבונות בנק המוגנים באמצעות התקן אבטחה פיזי. ולבסוף שולבה נוזקה שמיועדת לגניבה של פרטי אשראי מחברות פיננסיות או קופות רושמות, ומסוגלת לפעול על מספר רב של מערכות הפעלה.

אולי תעלה את זה לאתר הזה.
https://www.virustotal.com/

שנראה ברור איך נראה האיום האם יש לזה חתימה דיגיטלית לווירוסים או שאין.

.D.H.K · 8/12/15

נכתב ע"י mat;1886079:
אולי תעלה את זה לאתר הזה.
https://www.virustotal.com/

שנראה ברור איך נראה האיום האם יש לזה חתימה דיגיטלית לווירוסים או שאין.

אין לי את הקובץ הנגוע.
העתקתי לך מהכתבה כאן

גוגל כרום לא נותן עכשיו להוריד מהאתר שלהם.
כמו"כ בדפדפן אקספלורר זה נחסם ע"י מסנן SmartScreen.

עיטורים פלוס · 8/12/15

מי שהוריד את התכנה ממזמן. האם יש לו בעיה להשתמש בזה?

עדכון חם! - התפרצות תוכנת כופר בAMMYY Admin

משתמש מקצוען

משתמש צעיר

משתמש סופר מקצוען

משתמש צעיר

משתמש מקצוען

משתמש מקצוען

משתמש צעיר

משתמש סופר מקצוען

משתמש צעיר

------- Magicode -------

משתמש סופר מקצוען

------- Magicode -------

משתמש צעיר

קבצים מצורפים

משתמש צעיר

קבצים מצורפים

משתמש סופר מקצוען

משתמש רשום

משתמש פעיל

------- Magicode -------

משתמש צעיר

משתמש סופר מקצוען

תגיות נפוצות