Разработчики Windows 10 внедрили в ОС защиту от скрытого майнинга

 

После событий, связанных с вирусными атаками WannaCry и Petya, Microsoft начала масштабную работу над встроенным антивирусом Windows Defender для ОС Windows 10. Последнее время компания массово призывает пользователей обновляться до последней версии операционной системы, что связано с доработкой Защитника Windows, который обеспечивает отличную защиту от вредоносных программ.

Как сообщается на официальном блоге Microsoft, несколько дней назад была предотвращена масштабная вирусная атака, связанная с распространением скрытого майнера. Пользователи, установившие обновления, оказались недоступны для трояна.

Windows 11, Edge на Chromium, Windows 10 October 2018 Update

Сотрудники компании заметили быстрое распространение троянской программы Dofoil. Основной его задачей был скрытый майнинг криптовалюты на компьютере жертвы. Первая волна 6 марта насчитывала 80 000 попыток проникновения на ПК пользователей, а вторая — 400 000 попыток. В Windows утверждают, что атаку удалось полностью заблокировать.

В статистике сказано, что 73% обнаруженных вирусов находилось в России, 18% в Турции и 4% в Украине.

Иконки нового Office и Windows 10 от Microsof

 

Схема работы трояна

Dofoil, после проникновение на устройство, встраивался в системный процесс «explorer.exe». После этого начинался процесс майнинга криптовалюты Electroneum. Обнаружить вирус обычному пользователю почти невозможно, ведь он отлично замаскирован под стандартный процесс.

В сообщении Microsoft сообщается:
«Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс «explorer.exe» создает копию оригинального вредоносного ПО в папке «Roaming AppData» и переименовывает ее в «ditereah.exe». Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.

Зараженный «explorer.exe» создает и запускает файл «D1C6.tmp.exe» (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке «Temp». «D1C6.tmp.exe» создает и запускает копию самого себя под названием «lyk.exe». После запуска «lyk.exe» подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin.

Он затем пытается подключиться к C&C серверу «vinik.bit» внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.»

Кастомный вид обновленного меню "Пуск" Windows 10

Оставайся в безопасности с Windows 10

Многоуровневый подход Windows Security Defender к безопасности (используются алгоритмы обнаружения поведения, генерики и эвристики, основанной на поведении, а также модели машинного обучения) обеспечивает защиту в реальном времени от новых угроз. Windows 10 позволяет максимально обезопасить компьютер от вредоносного ПО, что становится еще одной причиной для обновления с более старой версии.

Windows 10 Build 18298 (19H1) -Улучшения Проводника, Светлая тема, Меню Пуск, Фрагмент экрана, Блокнота и консоли.

источник-windowsten

Кастомный вид обновленной версии Проводника

# ВОЗМОЖНО ЭТО БУДЕТ ВАМ ИНТЕРЕСНО:

Читайте также:

Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Концепция будущего Microsoft Windows — умные режимы для умного оборудования
Майкрософт усиливает защиту пользователей Windows 10, в очередном обновлений по безопасности