Comments 9
Честно говоря, тут особо нечего рассказать… Облачная система Panda автоматически заблокировала эту угрозу по определенным признакам. Чуть позже наши коллеги из антивирусной лаборатории PandaLabs обнаружили это, проверяя данные, которые они получают из облака. Облачная система «знает» техники и подходы, которые используются злоумышленниками при атаках через PowerShell, это и сработало.
То есть антивирус Panda заблокирует вредоноса на ПК, где он установлен. Это понятно.
Я понадеялся, что там именно сам ботнет нейтрализовали каким-нибудь хитроинтересным способом.
Новая единица измерения системы СИ для зловредов? Только непонятно «министерство/час» или «министерство*час». А от других зловредов министерства не могли пострадать?
Честно, после прочтения заголовка ожидал увидеть что-то про Мизулину или Милонова.
Небольшая фабрика по производству мебели.
Регулярно (чаще раза в месяц) получаем на почту разного рода «счета» и «отчеты» — загрузчики шифровальщиков. Каждый третий — документ MS word с макросом в автозапуске, выполняющем после деобфускации в точности такую же команду, разница только в адресе сайта, с которого должен качаться зловред, и имени файла, под которым запускается процесс.
Вирустотал, как правило, показывает, что файл чист.
Чет так и пахнет самопиаром.

браво, взять первый попавшийся банкбот и ворд макрос коих много и написать статью…
взять первый попавшийся банкбот и ворд макрос коих много и написать статью


Да, к сожалению, подобных угроз ходит много…

Данная атака выглядела как направленная атака на министерство здравоохранения в одной из европейских стран.

Причем она действительно могла парализовать работу всего министерства. Более того, по данным VirusTotal на тот момент ни один антивирусный движок не обнаруживал данную угрозу, хотя в реальной ситуации решения Panda блокировали эту атаку. Ничего не имею против VirusTotal, но не нужно переоценивать значимость его результатов. Многие пользователи думают, что если на VirusTotal движок не обнаруживает угрозу в файле, значит он не может ее блокировать. Хотя на практике далеко не так.

Потом выяснилось, что данная атака была зафиксирована и в других странах.
Учитывая все это, наши коллеги из антивирусной лаборатории PandaLabs решили рассказать про эту угрозу, как один из примеров атаки через powershell.

Only those users with full accounts are able to leave comments. Log in, please.