С конца сентября эксперты антивирусной лаборатории Eset обнаружили эту вредоносную программу во множестве загруженных при помощи браузера файлов. Эксперты установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.
Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали так называемую «темную поисковую оптимизацию» (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.
Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу, после чего начинается загрузка архива, название которого — для повышения доверия — соответствует введенному в строку поиска тексту. То есть один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса.
Поисковые запросы могли быть самыми различными. Пользователи, компьютеры которых были заражены Nymaim, искали программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму «Барби и 12 танцующих принцесс» и т.д.
Один из вариантов экрана блокировки в Nymaim
Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа.
В ходе исследования аналитики обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Целью злоумышленников были пользователи из разных стран Европы и Северной Америки.
Стоимость разблокировки для разных стран различна. В большинстве найденных экранов блокировки цена выкупа составляет около $150, однако пользователей из США просят заплатить за разблокировку самую высокую цену – $300. В Румынии же, например, зараженный пользователь может снять блокировку за 100 евро. Экраны блокировки в России на момент выпуска отчета в компании Eset не обнаружили.
Троян-вымогатель заражает пользователей через поиск Google: 2 комментария