kaspersky q2 report malware

РАЗВИТИЕ ИНФОРМАЦИОННЫХ УГРОЗ ВО ВТОРОМ КВАРТАЛЕ 2016 ГОДАДэвид Эмм, Роман Унучек, Мария Гарнаева, Антон Иванов, Денис Макрушин, Федор Синицын

Развитие информационных угроз во втором квартале 2016 года. Обзор ситуации

Стр. 2 из 46

Оглавление

Обзор ситуации ........................................................................................................................................... 3

Целевые атаки и вредоносные кампании .................................................................................................. 3

Скимминг по-новому ................................................................................................................................ 3

Новые атаки, старый эксплойт ............................................................................................................... 4

Новая атака, новый эксплойт ................................................................................................................... 5

xDedic: APT-атаки как сервис ................................................................................................................... 7

Lurk: в засаде на пользователей Рунета ................................................................................................. 8

Киберпреступность ....................................................................................................................................... 9

Киберпреступники готовятся к олимпиаде в Рио-де-Жанейро ............................................................ 9

Программы-вымогатели: делать резервные копии или платить выкуп? .......................................... 13

Мобильные зловреды ............................................................................................................................ 14

Утечка данных ............................................................................................................................................. 16

Статистика .................................................................................................................................................. 18

Цифры квартала .......................................................................................................................................... 18

Мобильные угрозы ..................................................................................................................................... 19

Распределение детектируемых мобильных программ по типам ...................................................... 19

TOP 20 мобильных вредоносных программ ........................................................................................ 21

География мобильных угроз .................................................................................................................. 23

Мобильные банковские троянцы ......................................................................................................... 24

Мобильные троянцы-вымогатели......................................................................................................... 28

Уязвимые приложения, используемые злоумышленниками ................................................................ 30

Вредоносные программы в интернете (атаки через веб-ресурсы) ........................................................ 31

Онлайн-угрозы в финансовом секторе ................................................................................................. 32

Вредоносные программы-шифровальщики ........................................................................................ 36

Страны – источники веб-атак: TOP 10 ................................................................................................... 41

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет . 42

Локальные угрозы ...................................................................................................................................... 44

Страны, в которых пользователи подвергались наибольшему риску локального заражения ....... 45


Стр. 3 из 46

Обзор ситуации

Целевые атаки и вредоносные кампании

Скимминг по-новому

В начале этого года в ходе расследования инцидента мы обнаружили новую версию троянца Skimer

для банкоматов. Эта вредоносная программа, известная с 2009 года, была обновлена. Была

пересмотрена и тактика действий киберпреступников, которые ее используют. Жертвами нового

инфектора для банкоматов стали банкоматы по всему миру, в частности в ОАЭ, Франции, США, России,

Макао, Китае, Филиппинах, Грузии, Польше, Бразилии и Чехии.

Вместо традиционного подхода – приладить к банкомату фальшивое устройство, читающее карты,

злоумышленники берут под контроль сразу весь банкомат. Сначала они устанавливают на банкомате

троянец Skimer – либо имея физический доступ к банкомату, либо взломав внутреннюю сеть банка.

Троянец заражает ядро банкомата – часть устройства, ответственную за взаимодействие с банковской

инфраструктурой в целом, обработку карт и выдачу денег. В отличие от традиционной кражи данных

банковских карт с помощью скиммеров, в этом случае нет никаких физических признаков того, что

банкомат заражен, и злоумышленники могут спокойно считывать данные карт, вставляемых в

банкомат (включая номера банковских счетов и PIN-коды пользователей), или напрямую красть

наличные из банкомата.

Злоумышленник «активирует» зараженный банкомат, вставляя особую карту, на магнитную полосу

которой записаны специальные данные. Считав эту карту, Skimer способен исполнить жестко

закодированную команду или получать команды через специальное меню, активируемое картой.

Пользовательский интерфейс Skimer становится виден на дисплее только после извлечения карты и

только если киберпреступник в течение 60 секунд вводит правильный ключ сеанса. В меню доступен

21 различный вариант действий, в т.ч. выдача денег, сбор данных карт, вставляемых в банкомат,

самоудаление или установка обновлений. Злоумышленник может записать собранные данные карт на

чип своей карты или распечатать их.

Злоумышленники действуют осторожно, чтобы не привлекать внимания. Вместо того чтобы просто

забрать деньги из банкомата (что может быть сразу замечено) они выжидают, иногда в течение

нескольких месяцев, перед тем как начать действовать. Чаще всего они собирают данные карт

пользователей банкоматов, а потом создают клоны этих карт. Они используют клоны карт в других,

незараженных банкоматах, незаметно снимая деньги со счетов жертв таким образом, что вычислить

зараженный банкомат никак невозможно.

https://securelist.ru/analysis/ksb/1383/kaspersky-security-bulletin-2009-razvitie-ugroz-v-2009-godu/

https://securelist.ru/analysis/ksb/1383/kaspersky-security-bulletin-2009-razvitie-ugroz-v-2009-godu/

https://securelist.ru/blog/issledovaniya/28631/atm-infector/



Стр. 4 из 46

У «Лаборатории Касперского» есть ряд рекомендаций для банков по поводу того, как защититься от

таких программ. Следует регулярно проводить антивирусные проверки, использовать белые списки,

применять надежную политику управления устройствами, использовать полное шифрование диска,

устанавливать пароли на BIOS банкоматов, устанавливать принудительную загрузку банкоматов с

жесткого диска и изолировать сеть банкоматов от остальной банковской инфраструктуры. На

магнитной полосе карты, используемой злоумышленниками для активации троянца, записаны девять

чисел. В качестве метода проактивной защиты банки могут выполнить поиск по этим числам в своих

системах процессинга – мы опубликовали эту информацию, а также прочие индикаторы заражения.

В апреле один из наших экспертов предоставил подробный анализ краж денег из банкоматов без

физического взлома и высказал несколько соображений по поводу того, что следует делать для

обеспечения безопасности этих устройств.

Новые атаки, старый эксплойт

Последние месяцы мы наблюдаем волну кибершпионских атак, проводимых в Азиатско-

Тихоокеанском и Дальневосточном регионе различными APT-группировками. У всех этих атак есть

одна общая черта: они эксплуатируют уязвимость CVE-2015-2545. Эта уязвимость позволяет

атакующей стороне исполнять произвольный код при помощи специально созданного графического

файла с расширением EPS, при этом используется язык PostScript и обходятся встроенные в ОС

Windows методы защиты Address Space Layout Randomization и Data Execution Prevention. Уже было

известно, что эту уязвимость эксплуатируют группировки Platinum, APT16, EvilPost и SPIVY, а недавно

добавилась еще и группа Danti.

Группировка Danti впервые проявила себя в феврале 2016 г. и активна по сей день; ее деятельность

нацелена на дипломатические представительства. В первую очередь атакуются индийские

госорганизации, хотя по данным Kaspersky Security Network видно, что у нее также есть зараженные

жертвы в Казахстане, Кыргызстане, Узбекистане, Мьянме, Непале и на Филиппинах.

Эксплойт доставляется с помощью целевого фишинга: электронные сообщения внешне выглядят так,

как будто их отправителями являются высокопоставленные индийские правительственные чиновники.

Когда получатель нажимает на прикрепленный DOCX-файл, устанавливается бэкдор Danti, с помощью

которого злоумышленники могут похищать конфиденциальные данные.

Происхождение группировки Danti неясно; мы подозреваем, что она может быть связана с

группировками NetTraveler и DragonOK. Есть предположения, что за этими атаками стоят

китайскоязычные хакеры.


https://securelist.ru/analysis/obzor/28418/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut/

https://securelist.ru/analysis/obzor/28418/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut/

https://ru.wikipedia.org/wiki/ASLR

https://en.wikipedia.org/wiki/Executable_space_protection#Windows

https://blog.kaspersky.ru/ksn/1572/


Стр. 5 из 46

«Лаборатория Касперского» наблюдала также другую вредоносную кампанию, использовавшую

уязвимость CVE-2015-2545 – мы назвали эту кампанию SVCMONDR, по названию троянца, который

загружается после того, как атакующая сторона закрепится на компьютере-жертве. Этот троянец

отличается от того, что используется группировкой Danti, но при этом имеет некоторые общие черты с

Danti и с APT61. APT61 – это кибершпионская группировка, предположительно китайского

происхождения.

Самой поразительной чертой этих атак является то, что они с успехом эксплуатируют уязвимость, патч

к которой компания Microsoft выпустила в сентябре 2015 г. В декабре 2015 г. мы предсказывали, что

APT-агенты станут прилагать меньше усилий для разработки сложных инструментов и будут чаще

использовать для своих целей готовое вредоносное ПО. Вышеописанный случай является хорошим

примером: использование известной уязвимости предпочтительнее разработки эксплойта к

уязвимости нулевого дня. Это говорит о том, что компаниям следует уделять больше внимания

своевременной установке исправлений безопасности, чтобы обеспечить защиту корпоративной IT-

инфраструктуры.

Новая атака, новый эксплойт

Естественно, всегда будут существовать APT-группировки, стремящиеся воспользоваться эксплойтами

нулевого дня. В июне мы сообщали о кампании кибершпионажа, получившей кодовое название

«Операция Daybreak» («Рассвет»), запущенной группировкой под названием ScarCruft

и использующей ранее неизвестный эксплойт к Adobe Flash Player (уязвимость CVE-2016-1010). Это

относительно новая группировка, до сих пор она не привлекала особого внимания. Мы полагаем, что

эта группировка ранее могла запустить еще один эксплойт нулевого дня (CVE-2016-0147), – эта

уязвимость была закрыта в апреле.

https://securelist.ru/analysis/ksb/27454/kaspersky-security-bulletin-2015-prognozy-na-2016-god/

https://securelist.com/blog/research/75100/operation-daybreak/


Стр. 6 из 46

Деятельность группировки направлена на организации в России, Непале, Южной Корее, Китае, Индии,

Кувейте и Румынии. Среди ее жертв – правоохранительные органы одной из азиатских стран, одна из

крупнейших мировых торговых компаний, американская компания по мобильной рекламе и

монетизации приложений, частные лица, связанные с Международной ассоциацией

легкоатлетических федераций и ресторан, расположенный в одном из крупнейших торговых центров

Дубая. Атаки начались в марте 2016 г.; некоторые атаки произошли совсем недавно, так что мы

полагаем, группировка активна по сей день.

Точный механизм заражений жертв неясен; мы думаем, что злоумышленники используют целевой

фишинг в виде электронных сообщений, которые ведут на взломанный веб-сайт, на котором

размещен эксплойт. Выполнив пару браузерных проверок, сайт перенаправляет жертв на

контролируемый хакерами сервер в Польше. Процесс эксплуатации состоит из трех Flash-объектов.

Объект, который активирует уязвимость в Adobe Flash Player, находится во втором SWF-файле,

доставляемом жертве. В конце эксплуатационной цепочки сервер посылает жертве легитимный PDF-

файл под названием china.pdf; он, по всей видимости, написан на корейском.

Злоумышленники используют ряд интересных методов обхода детектирования, в т.ч. эксплуатируют

ошибку в компоненте Windows Dynamic Data Exchange (DDE), чтобы обойти защитные решения, – ранее

такой метод не наблюдался. Мы сообщили об этой ошибке в Microsoft.

Эксплойты для Flash Player становятся редкими, потому что в большинстве случаев их нужно применять

в связке с эксплойтом для обхода исполнения в изолированной тестовой среде – это усложняет их

применение. Более того, хотя вскоре Adobe планирует прекратить поддержку Flash Player, она

продолжает внедрять новые меры безопасности, делая более сложной эксплуатацию уязвимостей в

Flash Player. Тем не менее, изобретательные киберпреступные группировки, такие как ScarCruft,

продолжат искать эксплойты нулевого дня, чтобы заражать компьютеры лиц, занимающих высокое

положение.

Стопроцентной безопасности не бывает, но можно усилить линию безопасности настолько, что для

атакующих злоумышленников станет слишком дорого пробивать в ней брешь, так что они откажутся

от своих намерений или переключатся на другую жертву. Лучший метод защиты от целевых атак – это

следовать комплексному подходу, который сочетает традиционные антивирусные технологии с

управлением исправлениями, хостовыми системами предотвращения вторжений и запретом по

умолчанию на основе белых списков. По данным исследования австралийского Управления

радиотехнической обороны, 85 процентов проанализированных целевых атак могут быть

остановлены с применением четырех стратегий: белые списки приложений, обновлений приложений,

обновление операционных систем и ограничение административных прав.

Продукты «Лаборатории Касперского» детектируют эксплойт в Flash Player с вердиктом

HEUR:Exploit.SWF.Agent.gen. Атака также проактивно блокируется нашим компонентом

«Автоматическая защита от эксплойтов». Основной функционал детектируется с вердиктом

HEUR:Trojan.Win32.ScarCruft.gen.

https://ru.wikipedia.org/wiki/Dynamic_Data_Exchange

https://securelist.ru/blog/soft/27002/kak-nejtralizovat-85-ugroz-s-pomoshhyu-vsego-chetyrex-strategij/

https://securelist.ru/blog/soft/27002/kak-nejtralizovat-85-ugroz-s-pomoshhyu-vsego-chetyrex-strategij/

https://business.kaspersky.ru/automatic-exploit-prevention-protiv-targetirovanny-h-atak/1365/


Стр. 7 из 46

xDedic: APT-атаки как сервис

Недавно «Лаборатория Касперского» исследовала киберпреступную торговую площадку под

названием xDedic – это теневой онлайн-рынок взломанных серверов, расположенных по всему миру,

каждый из которых доступен по протоколу Remote Desktop Protocol (RDP). Поначалу мы полагали, что

на рынке представлено около 70 000 серверов, но новые данные предполагают, что xDedic гораздо

больше. На площадке есть своя поисковая система, так что потенциальные покупатели могут выбрать

практически любой сервер на свой вкус, включая серверы в государственных и корпоративных сетях,

и все это всего за 8 долларов за сервер! За эту низкую цену покупатели получают доступ к данным о

взломанных серверах и могут использовать сами серверы как плацдарм для осуществления целевых

атак.

Владельцы домена xdedic[.]biz утверждают, что не имеют никакого отношения к тем, кто торгует

доступом к взломанным серверам, а лишь предоставляют другим за деньги безопасную торговую

платформу. У форума xDedic есть отдельный субдомен partner[.]xdedic[.]biz для «партнеров» сайта, т.е.

для продавцов взломанных серверов. Владельцы xDedic разработали инструмент для автоматического

сбора информации о взломанных серверах, в т.ч. о доступных вебсайтах, установленном ПО и т.д. Они

также предоставляют партнерам другие инструменты, в том числе патч к взломанным RDP-серверам

для одновременной поддержки нескольких сессий, а также установщики прокси-серверов.

Теневые рынки – явление не новое; однако в данном случае мы видим более высокий уровень

специализации. Хотя модель, взятую на вооружение владельцами XDedic, не так просто будет

https://securelist.ru/blog/issledovaniya/28758/xdedic-the-shady-world-of-hacked-servers-for-sale/

https://securelist.ru/blog/issledovaniya/28758/xdedic-the-shady-world-of-hacked-servers-for-sale/

https://ru.wikipedia.org/wiki/Remote_Desktop_Protocol

https://securelist.com/blog/research/75120/the-tip-of-the-iceberg-an-unexpected-turn-in-the-xdedic-story/

https://securelist.com/blog/research/75120/the-tip-of-the-iceberg-an-unexpected-turn-in-the-xdedic-story/


Стр. 8 из 46

воспроизвести, мы полагаем, что в будущем есть вероятность возникновения других

специализированных рыночных площадок.

Данные KSN позволили нам распознать несколько файлов, загруженных с партнерского портала

xDedic – продукты «Лаборатории Касперского» детектируют их как вредоносные. Мы также внесли

в черный список URL-адреса командных серверов, используемых для сбора информации

о зараженных системах. Подробная информация о хостах и сетевые индикаторы заражения доступны

в нашем подробном отчете по xDedic.

Lurk: в засаде на пользователей Рунета

Иногда в руки наших исследователей попадают вредоносные программы, которые имеют

предпочтения касательно того, кого заражать, а кого нет. Например, на закрытых форумах российских

киберпреступников иногда можно увидеть предупреждение «Не работайте с RU” - другими словами,

опытные киберпреступники советуют молодому поколению не заражать российские компьютеры, не

красть деньги у россиян и не использовать их для отмывания денег. Для этого есть две причины: во-

первых, онлайн-банкинг в России не настолько широко распространен, как на Западе; и во-вторых,

жертвы вне России вряд ли обратятся с жалобой в российскую полицию – даже если поймут, что за

заразившей их вредоносной программой стоят именно российские киберпреступники.

Однако из каждого правила бывают исключения. Одно из таких исключений – это банковский троянец

Lurk; он используется уже несколько лет, чтобы красть деньги именно у российских пользователей.

Злоумышленников, стоящих за этим троянцем, интересуют телекоммуникационные компании, СМИ,

новостные агрегаторы и финансовые организации. Заражая первые, злоумышленники получают

возможность перенаправлять трафик на свои серверы. Новостные сайты дают им возможность

заражать большое число жертв из их «целевой аудитории» – финансового сектора. В числе

атакованных троянцем мишеней – четыре крупнейших российских банка.

Для распространения банковского троянца Lurk применяется техника drive-by загрузки

с использованием эксплойт-пака Angler: на зараженных сайтах размещается ссылка, ведущая на

лендинг-страницу, содержащую эксплойт. Обычно эксплойты (в т.ч. нулевого дня) реализуются

в Angler раньше, чем в других эксплойт-паках, что делает его особенно опасным. Злоумышленники

также распространяют вредоносный код через легитимные сайты – при таком способе

распространения зараженные файлы раздаются только пользователям из зоны .ru-, остальные

получают чистые файлы. Заразив один компьютер в корпоративной сети, злоумышленники

используют его как плацдарм, с которого заражают другие компьютеры в организации – для этого

используется утилита PsExec; затем при помощи дроппера mini на этих компьютерах запускается

основной модуль троянца.

У троянца Lurk есть несколько интересных особенностей. Одна из них – мы обсуждали ее вскоре после

появления троянца – состоит в том, что это «бестелесная» вредоносная программа, т.е. она существует

только в оперативной памяти зараженного компьютера и не записывает свой код на жесткий диск.

https://securelist.com/files/2016/06/xDedic_marketplace_ENG.pdf

https://securelist.com/files/2016/06/xDedic_marketplace_ENG.pdf

https://securelist.ru/featured/28708/bankovskij-troyanec-lurk-specialno-dlya-rossii/

https://securelist.ru/featured/28708/bankovskij-troyanec-lurk-specialno-dlya-rossii/

https://technet.microsoft.com/en-us/sysinternals/psexec

https://securelist.ru/blog/virus-watch/2604/unikalnyj-bestelesnyj-bot-atakuet-posetitelej-novostnyh-resursov/

https://securelist.ru/blog/virus-watch/2604/unikalnyj-bestelesnyj-bot-atakuet-posetitelej-novostnyh-resursov/


Стр. 9 из 46

Lurk отличает высокая таргетированность – его авторы делают все, чтобы заразить максимальное

количество интересных им жертв, не привлекая при этом внимания аналитиков и исследователей..

Судя по известным нам инцидентам, Lurk успешно выполняет те цели, ради которых он был создан:

мы регулярно получаем отчеты о кражах денег из систем онлайн-банкинга, а после инцидентов

криминалисты находят следы Lurk на компьютерах.

Киберпреступность

Киберпреступники готовятся к олимпиаде в Рио-де-Жанейро

Мошенники никогда не упустят возможности нажиться на крупных спортивных мероприятиях, так что

не приходится удивляться повышению активности киберпреступников в связи с предстоящими

Олимпийскими играми в Бразилии.

Наблюдается рост числа спам-сообщений. Спамеры пытаются использовать в своих целях желание

людей смотреть игры вживую и рассылают фальшивые уведомления о выигрыше в лотерею (которая

якобы организована Международным олимпийским комитетом и бразильским правительством):

чтобы «получить выигрыш», нужно только ответить на письмо и предоставить необходимую

персональную информацию.

Некоторые сообщения содержат ссылки на веб-сайты, поддельные под официальные сервисы

продажи билетов на спортивные события Олимпиады 2016, как, например, вот на этот:

https://securelist.ru/blog/phishing-blog/28614/the-rio-olympics-scammers-already-competing/

https://securelist.ru/blog/phishing-blog/28614/the-rio-olympics-scammers-already-competing/


Стр. 10 из 46

Эти фальшивые сайты по продаже билетов выглядят весьма убедительно. Некоторые мошенники идут

дальше – получают легитимные SSL-сертификаты, чтобы обеспечить безопасное соединение между

браузером жертвы и сайтом: отражение ‘https’ в адресной строке браузера помогает внушить

пользователю ложное чувство безопасности. Мошенники сообщают попавшимся на удочку, что они

получат билеты за две-три недели до олимпиады, так что когда жертва начнет беспокоиться, будет

уже поздно – данные карты уже будут использованы киберпреступниками. «Лаборатория

Касперского» постоянно детектирует и блокирует новые вредоносные домены; в названиях многих из

них есть строка ‘rio’ или ‘rio2016’.

Покупать билеты через официальные каналы уже поздно, так что остается смотреть игры по

телевизору или онлайн. Советуем всем остерегаться вредоносных сайтов, предоставляющих

потоковое видео – по всей видимости, это последний шанс киберпреступников обманом получить

чужие деньги в контексте Олимпиады.

Киберпреступники используют и наше стремление везде оставаться на связи: публиковать наши

фотографии, обновлять профили в соцсетях, узнавать последние новости или находить лучшие места,

где можно поесть, сделать покупки или остановиться на ночь. К сожалению, мобильный роуминг

может стоить очень дорого, так что люди часто ищут ближайшую точку доступа Wi-Fi. Это опасно,

потому что данные, пересылаемые и получаемые через открытую Wi-Fi сеть, могут перехватываться;

таким образом могут быть украдены пароли, PIN-коды и прочая закрытая частная информация. Кроме

этого, киберпреступники устанавливают поддельные точки доступа, настроенные так, что весь трафик

проходит через хост, через который его можно контролировать: хост может даже считывать и

перехватывать шифрованный трафик, по сути осуществляя атаку типа man-in-the-middle.

Чтобы оценить масштабы этой проблемы, мы проехали на машине мимо трех крупных олимпийских

объектов в Рио-де-Жанейро и выполнили пассивный мониторинг доступных Wi-Fi сетей, которые

посетители Олимпиады скорее всего попробуют использовать – в здании бразильского Олимпийского

комитета, Олимпийского парка и на трех стадионах: Маракана, Мараканасиньо и Энженьян. Мы

https://securelist.com/blog/events/33714/television-fraud-of-olympic-proportions-11/

https://securelist.com/blog/events/33714/television-fraud-of-olympic-proportions-11/


Стр. 11 из 46

смогли обнаружить около 4500 уникальных точек доступа. Большинство можно использовать для

передачи потокового мультимедийного контента, но при этом около четверти из них

сконфигурированы на основе слабых протоколов шифрования, так что злоумышленники смогут

использовать их для кражи данных подсоединяющихся к ним ничего не подозревающих

пользователей.

Чтобы уменьшить риск, рекомендуем всем путешественникам (не только тем, кто собирается на

Олимпиаду в Рио!) использовать при этом VPN-соединение – в этом случае данные с вашего устройства

будут отсылаться в сеть через шифрованный канал передачи данных. Но при этом будьте осторожны:

некоторые VPN-соединения уязвимы перед атаками типа DNS leaking (утечка DNS). Это означает, что

хотя ваш конфиденциальные данные пересылаются через VPN, ваши DNS-запросы пересылаются в

открытом виде на DNS-сервера, определяемые аппаратно на точках доступа. Это позволяет

злоумышленнику увидеть, какие сайты вы посещаете, а если у него есть доступ к взломанной Wi-Fi-

сети, то и назначить вредоносные DNS-сервера – то есть, сделать так, что вы будете перенаправляться

с легитимного сайта (например, с сайта вашего банка) на вредоносный сайт. Если у вашего VPN-

провайдера нет собственных DNS-серверов, подумайте о переходе к другому провайдеру или на

сервис DNSCrypt.

Чтобы оставаться на связи, нужна еще одна вещь – электричество: мобильные устройства нужно время

от времени подзаряжать. В наши дни точки зарядки можно найти в торговых центрах, аэропортах и

даже в такси. Обычно есть разъемы для наиболее популярных моделей телефонов, а также USB-

разъем, куда пользователь может подсоединить свой кабель. Иногда есть и традиционная розетка, от

которой можно подзарядить телефон с помощью зарядного устройства.


Стр. 12 из 46

Однако при этом нужно помнить: вы не знаете, что может быть соединено к USB-разъему с другой

стороны. Если точка зарядки окажется взломанной злоумышленником, то он сможет через нее

выполнять команды, получая информацию о вашем мобильном устройстве, в т.ч. ее модель, номер

IMEI, телефонный номер и прочие данные. Зная эту информацию, злоумышленник может провести

атаку, направленную конкретно на ваше устройство, и заразить его. Вы можете почитать подробнее о

данных, пересылаемых при подключении устройства через USB-разъем, и как злоумышленник может

использовать это соединение, чтобы взломать ваше мобильное устройство.

https://securelist.ru/blog/mneniya/28648/wired-mobile-charging-is-it-safe/


Стр. 13 из 46

Все это не означает, что вам не следует заряжать ваше мобильное устройство, когда вы не дома. Но

нужно принять меры, чтобы защитить себя. Лучше всего использовать свое собственное зарядное

устройство, чем подсоединять устройство к кабелю на публичной точке зарядки или покупать новую

зарядку в неизвестном месте. И всегда предпочтительнее использовать розетку, а не USB-разъем.

Киберпреступники также продолжают использовать известные способы заполучить деньги, например

кражу данных банковских карт при помощи ATM-скиммеров. Самые простые скиммеры включают

устройство для чтения карты и камеру для записи вводимого PIN-кода. В таких случаях, лучший способ

защититься – прикрывать рукой цифровую клавиатуру при вводе PIN-кода. Иногда киберпреступники

подменяют сразу весь банкомат, в комплекте с экраном и клавиатурой; в этом случае вводимые

пользователями пароли сохраняются в системе поддельного банкомата. Поэтому перед тем как ввести

карту, важно убедиться, что банкомат не поддельный. Посмотрите, светится ли зеленый огонек

в устройстве чтения карт: обычно злоумышленники подменяют его другим устройством, которое не

светится зеленым или в котором эта подсветка выключена. Присмотритесь, нет ли чего-нибудь

подозрительного в банкомате, например какие-либо его части могут отсутствовать или быть

повреждены.

Клонирование банковских карт – это еще одна потенциальная угроза для посетителей Олипиады-2016

в Рио. Да, чипы в банковских картах и PIN-код усложняют киберпреступникам жизнь, но при этом они

могут эксплуатировать уязвимости в реализации EMV-транзакций. От такого вида атак защититься

сложно: обычно изменения вносятся в POS-терминал, чтобы сохранить данные карт, которые потом

копируются злоумышленниками. Иногда, чтобы скопировать эти данные с терминала, не требуется

физического доступа к нему – это можно сделать с помощью Bluetooth. Тем не менее и в этом случае

можно принять некоторые меры, чтобы уменьшить риск при этом виде атак. Если такой сервис

предоставляется, подпишитесь на SMS-уведомления из вашего банка обо всех операциях,

совершаемых с вашей картой. При оплате никогда не отдавайте карту в руки продавцу, кассиру или

официанту: если они не могут принести вам терминал для оплаты, то лучше сами подойдите к кассе.

Если устройство выглядит подозрительно, рассчитайтесь другим способом. Перед тем как вводить PIN-

код, убедитесь, что вы видите на экране диалог для проведения оплаты, а также убедитесь, что ваш

PIN не отображается на экране.

Программы-вымогатели: делать резервные копии или платить выкуп?

В конце прошлого года мы прогнозировали, что программы-вымогатели отвоюют часть рынка у

банковских троянцев. Программы-вымогатели удобны для злоумышленников: они легко

монетизируются и имеют низкие затраты в расчете на жертву, так что нет ничего удивительного в том,

что используются они все чаще. За год с апреля 2015 г. по апрель 2016 г. продукты «Лаборатории

Касперского» заблокировали 2 315 931 атак вымогателей, что на 17,7% выше, чем годом ранее.

Количество шифровальщиков (рассматриваемых отдельно от блокировщиков) выросло с 131 111

https://threatpost.com/researchers-find-serious-problems-in-chip-and-pin-emv-implementation-protocol/106228/

https://threatpost.com/researchers-find-serious-problems-in-chip-and-pin-emv-implementation-protocol/106228/




Стр. 14 из 46

в период 2014-2015 гг. до 718 536 в период 2015-2016 гг. В прошлом году на шифровальщики

приходилось 31,6% всех атак программ-вымогателей. Подробная информация, в т.ч. краткий обзор

развития программ-вымогателей, доступен в нашем отчете «Программы-вымогатели для ПК в 2014-

2016 годах».

В большинстве случаев атаки программ-вымогателей направлены на домашних пользователей: на

корпоративный сектор было направлено 6,8% атак в 2014-2015 гг. и 13,13% в 2015-2016 гг.

Впрочем, для шифровальщиков цифры другие: за 24-месячный отчетный период около 20% атак

шифровальщиков были направлены на корпоративный сектор.

Не проходит и месяца, чтобы в СМИ не появилось публикаций об атаках программ-вымогателей;

например, недавно были сообщения о том, что от таких программ пострадали больница и онлайн-

казино. Хотя внимание общественности к данной проблеме растет, при этом очевидно,

что и потребители, и организации делают не все для борьбы с угрозой, чем киберпреступники

и пользуются – это четко видно по числу атак.

Важно сократить свою потенциальную уязвимость к программам-вымогателям (некоторые важные

шаги к этому мы описали здесь и здесь). При этом, стопроцентной безопасности не бывает, так что

особенно важно уменьшить риск. В частности, крайне необходимо всегда иметь резервные копии

ваших данных, чтобы не попасть в ситуацию, когда перед вами окажется единственный выбор:

заплатить требуемый выкуп или потерять ваши данные. Платить выкуп не рекомендуется ни в каких

случаях. Не только потому, что этим вы поддержите преступную бизнес-модель , но и потому, что нет

гарантии, что вымогатели расшифруют ваши данные после того, как вы им заплатите, – одна

организация недавно обнаружила это. Если вы все же окажетесь в ситуации, когда резервных копий

нет, узнайте, не может ли вам помочь производитель вашего защитного решения. «Лаборатория

Касперского», например, может помочь восстановить данные, зашифрованные некоторыми

программами-вымогателями.

Мобильные зловреды

По-прежнему одним из основных способов монетизации мобильных детектируемых объектов

остается показ рекламы. Так, самым популярным мобильным троянцем второго квартала 2016 года

стал Trojan.AndroidOS.Iop.c. С ним столкнулись более 10% от общего числа наших пользователей, у

которых в течение отчетного периода были задетектированы мобильные вредоносные программы.

Этот троянец показывает рекламу и устанавливает на устройство приложения, причем зачастую делает

это скрытно, используя права суперпользователя. В результате такой активности зараженным

устройством через непродолжительное время практически невозможно пользоваться из-за обилия

рекламы и новых приложений. Поскольку троянец может получать права суперпользователя, удалить

установленные им программы довольно трудно.

https://securelist.ru/analysis/obzor/28774/pc-ransomware-in-2014-2016/

https://securelist.ru/analysis/obzor/28774/pc-ransomware-in-2014-2016/

http://www.techspot.com/news/64954-hackers-demand-ransom-payment-kansas-heart-hospital-files.html

https://threatpost.com/diary-of-a-ransomware-victim/117877/

https://threatpost.com/diary-of-a-ransomware-victim/117877/

https://blog.kaspersky.ru/ransomware-10-tips/9946/

https://blog.kaspersky.com/expert-ransomware-tips/11974/

https://blog.kaspersky.com/why-you-dont-pay-ransomware/12214/

https://blog.kaspersky.com/why-you-dont-pay-ransomware/12214/

https://noransom.kaspersky.com/

https://noransom.kaspersky.com/


Стр. 15 из 46

В отчете за первый квартал 2016 года мы упоминали семейство мобильных банковских троянцев

Trojan-Banker.AndroidOS.Asacub. Программы этого семейства используют достаточно необычную

технику обхода некоторых ограничений системы – они перекрывают стандартное системное окно

запроса прав администратора устройства своим окном с кнопками, Таким образом троянец скрывает

от пользователя запрос на получение дополнительных прав в системе и обманом вынуждает его

подтвердить эти права. В этом квартале в арсенале Asacub появилась новая техника – троянец получил

функционал SMS-менеджера и предлагает пользователю заменить собой стандартное приложение

для работы с SMS.

Диалоговое окно запроса троянца Trojan-Banker.AndroidOS.Asacub.i на получение прав основного

приложения для работы с SMS

Таким образом троянец может обойти ограничение системы, впервые появившееся в Android 4.4, и

удалять или скрывать от пользователя входящие SMS.

О семействе Trojan-PSW.AndroidOS.MyVk, представители которого крадут пароли от социальной сети

VK.com, мы писали еще в октябре 2015 года. В этом квартале злоумышленники, распространяющие

троянцев этого семейства, для обхода механизмов безопасности в Google Play сначала опубликовали

приложение, содержащее заявленную полезную функциональность и не содержащее вредоносный

код. Затем они, как минимум, один раз его обновили, выложив новую версию приложения без

вредоносного кода. И только более чем через месяц после первоначальной публикации

злоумышленники добавили вредоносный код в очередное обновление. В итоге тысячи пользователей

скачали Trojan-PSW.AndroidOS.MyVk.i.

https://securelist.ru/analysis/malware-quarterly/28455/it-threat-evolution-in-q1-2016/

https://securelist.ru/blog/issledovaniya/27764/troyanec-asacub-ot-shpiona-k-bankeru/

https://securelist.ru/blog/intsidenty/27087/krazha-pod-muzyku/


Стр. 16 из 46

Утечка данных

Частная информация – это ценный товар, так что неудивительно, что киберпреступники атакуют

различные онлайн-ресурсы, пытаясь украсть побольше данных «оптом» в течение одной атаки. Мы

привыкли к постоянному потоку сообщений в СМИ о взломах и прочих нарушениях безопасности;

отчетный квартал не стал исключением – были сообщения об атаках на beautifulpeople.com, на

хакерский форум nulled.io (в данном случае интересен тот факт, что атаки происходят не только на

легитимные сервисы), kiddicare, Tumblr и другие ресурсы.

Некоторые атаки закончились кражей огромных объемов данных; это обнаружило тот факт, что

многие компании не принимают адекватных мер, чтобы защитить себя. Речь идет не только о защите

периметра корпоративной сети. Стопроцентной безопасности не бывает, и нельзя гарантировать, что

система не может быть взломана. Но при этом любая организация, которая хранит персональные

данные, обязана заботиться об их безопасности и делать это эффективно. Практически это включает

хэширование и «соление» пользовательских паролей и шифрование прочих конфиденциальных

данных.

Пользователи могут ограничить ущерб от возможного взлома провайдера онлайн-услуг, выбирая

уникальные сложные пароли: идеальный пароль не короче 15 символов и состоит вперемешку из

букв, цифр и символов со всей клавиатуры. Разумная альтернатива – использовать менеджер паролей:

он справится с созданием таких сложных паролей автоматически. К сожалению, зачастую

пользователи используют простые пароли, которые легко подобрать, и используют одни и те же

пароли в учетных записях разных онлайн-сервисов – в этом случае один взломанный пароль делает

уязвимыми все учетные записи пользователя. Об этой проблеме заговорили в мае 2016 г., когда хакер

под ником Peace попытался продать 117 миллионов почтовых адресов и паролей из LinkedIn, которые

были украдены несколькими годами раньше. Более миллиона из этих паролей были «123456»!

Многие провайдеры онлайн-сервисов предлагают двухфакторную аутентификацию, т.е. для доступа

к сайту или внесения изменений в настройки учетной записи пользователей просят ввести код,

сгенерированный аппаратным ключом или присланный на мобильное устройство. Двухфакторная

аутентификация, безусловно, повышает уровень безопасности – если только человек станет ее

использовать.

Есть несколько компаний, которые надеются вообще упразднить потребность в паролях. Apple

позволяет авторизоваться по отпечаткам пальцев для совершения покупок в iTunes и осуществления

платежей через Apple Pay. Samsung объявил, что введет авторизацию по отпечаткам пальцев, по голосу

и радужной оболочке глаза. Amazon объявил о методе аутентификации selfie-pay. MasterCard и HSBC

объявили о введении авторизации транзакций через распознавание лица и голоса пользователя.

Главный плюс всех этих нововведений – это то, что они замещают пароли (которые пользователям

надо держать в памяти) чем-то, что у пользователя и так есть, и при этом пользователь не имеет

https://www.wired.com/2016/04/beautiful-people-hack/

http://arstechnica.co.uk/security/2016/05/nulled-io-crime-forum-breach-member-issues/

http://www.bbc.co.uk/news/technology-36247189

https://www.theguardian.com/technology/2016/may/31/tumblr-emails-for-sale-darknet-65-million-hack-passwords

http://www.theregister.co.uk/2016/05/24/linkedin_password_leak_hack_crack/


Стр. 17 из 46

возможности упростить процесс аутентификации (как, например, в случае, когда пользователь

выбирает слабый пароль).

Многие рассматривают биометрию как перспективное направление для дальнейшего развития. При

этом, она не является панацеей: как мы ранее обсуждали (здесь, здесь и здесь), биометрию можно

подделать, а еще биометрические данные можно украсть. В итоге существенно необходима

многофакторная аутентификация – совмещающая что-то, что вы знаете, что-то, что вы имеете, и что-

то, что является частью вас самих.

https://blog.kaspersky.ru/poddelaem-vas-stoit-li-doveryat-biometricheskim-resheniyam/1536/

https://blog.kaspersky.ru/stealing-digital-identity/9535/

https://blog.kaspersky.ru/fingerprints-sensors-security/10309/

Развитие информационных угроз во втором квартале 2016 года. Статистика

Стр. 18 из 46

Статистика Все статистические данные, использованные в отчете, получены с помощью распределенной

антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов

защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые

подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной

активности принимают участие миллионы пользователей продуктов «Лаборатории

Касперского» из 213 стран и территорий мира.

Цифры квартала

По данным KSN, решения «Лаборатории Касперского» отразили 171 895 830 атак, которые

проводились с интернет-ресурсов, размещенных в 191 стране мира.

Зафиксировано 54 539 948 уникальных URL, на которых происходило срабатывание веб-

антивируса.

Нашим веб-антивирусом было обнаружено 16 119 489 уникальных детектируемых объектов

(скрипты, эксплойты, исполняемые файлы и т.д.).

Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к

банковским счетам отражены на компьютерах 1 132 031 пользователя.

Атаки шифровальщиков отражены на компьютерах 311 590 уникальных пользователей.

Нашим файловым антивирусом зафиксировано 249 619 379 уникальных вредоносных и

потенциально нежелательных объектов.

Продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено:

o 3 626 458 вредоносных установочных пакетов;

o 27 403 установочных пакетов мобильных банковских троянцев;

o 83 048 установочных пакетов мобильных троянцев-вымогателей.

http://www.kaspersky.ru/downloads/pdf/kaspersky_security_network.pdf


Стр. 19 из 46

Мобильные угрозы

Во втором квартале 2016 года «Лабораторией Касперского» было обнаружено 3 626 458 вредоносных

установочных пакетов – это в 1,7 раза больше, чем в предыдущем квартале.

Количество обнаруженных вредоносных установочных пакетов (Q3 2015 – Q2 2016)

Распределение детектируемых мобильных программ по типам

Начиная с этого квартала, мы рассчитываем распределение мобильных программ по типам,

основываясь на количестве обнаруженных установочных пакетов, а не модификаций, как ранее.


Стр. 20 из 46

Распределение новых детектируемых мобильных программ по типам,

(Q1 2016 и Q2 2016)

В рейтинге обнаруженных во втором квартале 2016 года детектируемых объектов для мобильных

устройств лидируют программы типа RiskTool – легальные приложения, которые потенциально опасны

для пользователей. Их доля за квартал значительно выросла – с 31,6% до 45,1%, то есть практически

в 1,5 раза.

Второе место в рейтинге заняли потенциально нежелательные рекламные приложения (AdWare). Их

доля снизилась по сравнению с первым кварталом 2016 года на 1,4 п.п. и составила 14,2%.

В 1,7 раза упала доля Trojan-SMS – с 18,5% до 10,8%. В результате в этом рейтинге Trojan-SMS

сместились со второго на третье место. Большая часть обнаруженных файлов типа Trojan-SMS является

зловредами Trojan-SMS.AndroidOS.Agent.qu и Trojan-SMS.AndroidOS.Agent.f, на каждого приходится

примерно по 30% от общего количества вредоносных файлов.

Практически так же упала доля Trojan-Dropper – c 14,5% в первом квартале до 9,2% во втором. Лидером

среди этого типа программ стал Trojan-Dropper.AndroidOS.Agent.v – мы обнаружили более 50 000

установочный пакетов, относящихся к этому троянцу.


Стр. 21 из 46

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или

нежелательные программы, такие как RiskTool и рекламные программы.

Название % атакованных пользователей*

1 DangerousObject.Multi.Generic 80,87

2 Trojan.AndroidOS.Iop.c 11,38

3 Trojan.AndroidOS.Agent.gm 7,71

4 Trojan-Ransom.AndroidOS.Fusob.h 6,59

5 Backdoor.AndroidOS.Ztorg.a 5,79

6 Backdoor.AndroidOS.Ztorg.c 4,84

7 Trojan-Ransom.AndroidOS.Fusob.pac 4,41

8 Trojan.AndroidOS.Iop.t 4,37

9 Trojan-Dropper.AndroidOS.Gorpo.b 4,33

10 Trojan.AndroidOS.Ztorg.a 4,30

11 Trojan.AndroidOS.Ztorg.i 4,25

12 Trojan.AndroidOS.Iop.ag 4,00

13 Trojan-Dropper.AndroidOS.Triada.d 3,10

14 Trojan-Dropper.AndroidOS.Rootnik.f 3,07

15 Trojan.AndroidOS.Hiddad.v 3,03

16 Trojan-Dropper.AndroidOS.Rootnik.h 2,94

17 Trojan.AndroidOS.Iop.o 2,91

18 Trojan.AndroidOS.Rootnik.ab 2,91

19 Trojan.AndroidOS.Triada.e 2,85

20 Trojan-SMS.AndroidOS.Podec.a 2,83

* Процент уникальных пользователей, атакованных данным зловредом, от всех атакованных

пользователей мобильного антивируса «Лаборатории Касперского».

Первое место в рейтинге занимает вердикт DangerousObject.Multi.Generic (80,87%), используемый для

вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают,

когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной


Стр. 22 из 46

программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так

детектируются самые новые вредоносные программы.

Как и в прошлом квартале, во втором квартале 2016 года в TOP 20 попали шестнадцать троянцев,

которые используют рекламу в качестве основного средства монетизации (выделены в таблице синим

цветом). Их цель – доставить пользователю как можно больше рекламы различными способами, в том

числе за счет установки новых рекламных программ. Эти троянцы могут воспользоваться правами

суперпользователя для того, чтобы скрыться в системной папке, откуда удалить их будет очень сложно.

Троянец Trojan.AndroidOS.Iop.c (11,38%) переместился с третьего на второе место в TOP 20 и стал

самым популярным зловредом во втором квартале 2016. В течение отчетного периода мы

детектировали этот троянец в 180 странах, но большая часть атакуемых пользователей находилась в

России, Индии и Алжире. Iop.c может использовать различные уязвимости в системе для получения

прав суперпользователя. Основной способ монетизации – показ пользователю рекламы и установка

(обычно скрытная) на устройство пользователя различных программ, среди которых встречаются и

другие зловреды.

На четвертом и седьмом местах расположились представители семейства троянцев-вымогателей

Trojan-Ransom.AndroidOS.Fusob. Эти троянцы блокируют устройство и требуют от жертв 100-200

долларов за разблокировку. Большая часть жертв зловреда находится в Германии и в США, всего же в

течение второго квартала 2016 года мы зафиксировали атаки этого троянца более чем в 120 странах.

Trojan-SMS.AndroidOS.Podec.a (2,83%) входит в TOP 20 вредоносных мобильных угроз уже больше года,

но последнее время стал терять свои позиции. Раньше он всегда попадал в первую пятерку мобильных

угроз, но уже второй квартал подряд оказывается во второй десятке. Последнее время функционал

этого троянца практически не менялся, все так же основная монетизация производится за счет

подписки пользователя на платные сервисы.


Стр. 23 из 46

География мобильных угроз

Карта попыток заражений мобильными зловредами в первом квартале 2016 года

(процент атакованных пользователей в стране)

TOP 10 стран по проценту пользователей, атакованных мобильными зловредами:

Страна* % атакованных пользователей**

1 Китай 36,31

2 Бангладеш 32,66

3 Непал 30,61

4 Узбекистан 22,43

5 Алжир 22,16

6 Нигерия 21,84

7 Индия 21,64

8 Индонезия 21,35


Стр. 24 из 46

9 Пакистан 19,49

10 Иран 19,19

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса

«Лаборатории Касперского» относительно мало (менее 10000).

** Процент уникальных пользователей, атакованных в стране, по отношению ко всем

пользователям мобильного антивируса «Лаборатории Касперского» в стране.

Первое место в этом рейтинге досталось Китаю – более 36% пользователей в этой стране хотя бы раз

в течение квартала сталкивались с мобильными зловредами. Напомним, что в прошлом квартале

Китай также оказался на первой строчке рейтинга.

Во всех странах этого списка, за исключением Китая, популярны примерно одни и те же мобильные

детектируемые объекты – рекламные троянцы, попавшие в TOP 20 мобильных вредоносных

программ, и программы типа AdWare. Практически во всех этих странах самым популярным

зловредом стал Trojan.AndroidOS.Iop.c. В Китае тоже популярны рекламные троянцы, но других

семейств – в основном Backdoor.AndroidOS.GinMaster и Backdoor.AndroidOS.Fakengry. Троянец

Trojan.AndroidOS.Iop.c в Китае занял лишь 16-е место.

Россия (10,4%) в этом рейтинге заняла 26-е место, Германия (8,5%) – 38-е, Италия (6,2%) – 49-е,

Франция (5,9%) – 52-е. США (5,0%) оказались на 59-й строчке, Великобритания (4,6%) – на 64-й.

Самые безопасные страны по доле атакованных пользователей: Австрия (3,6%), Швеция (2,9%) и

Япония (1,7%).

Мобильные банковские троянцы

Начиная с этого квартала, мы считаем количество банковских троянцев по количеству обнаруженных

установочных пакетов, а не по количеству модификаций, как раньше. За отчетный период мы

обнаружили 27 403 мобильных банковских троянца, что в 1,2 раза меньше, чем в прошлом квартале.


Стр. 25 из 46

Количество установочных пакетов мобильных банковских троянцев, обнаруженных

«Лабораторией Касперского» (Q3 2015 – Q2 2016)

Среди пяти самых популярных мобильных банковских троянцев во втором квартале 2016 года

оказались представители всего двух семейств – Trojan-Banker.AndroidOS.Asacub и Trojan-

Banker.AndroidOS.Svpeng.

Самым популярным у злоумышленников мобильным банковским троянцем в этом квартале стал

Trojan-Banker.AndroidOS.Asacub.i. Этот троянец активно использует различные технологии для обмана

пользователей и обхода ограничений ОС. В первом квартале нам удалось обнаружить версию этого

троянца, которая перекрывала своим окном стандартный диалог получения прав администратора

устройства так, что пользователь, нажимая на кнопку «Да», не представлял, на что согласился. Во

втором квартале мы обнаружили модификацию, которая запрашивает у пользователя разрешение

стать основным приложением для работы с SMS.

Диалог запроса троянца Trojan-Banker.AndroidOS.Asacub.i на получение прав стать основным

приложением работы с SMS


Стр. 26 из 46

Это позволяет троянцу обойти ограничения системы, появившиеся в Android 4.4, и скрывать от

пользователя входящие SMS (как правило, скрываются сообщения от банков и платежных систем). Для

того, чтобы пользователь оставил в настройках вредоносное приложение как основное для работы с

SMS, авторам троянца помимо прочего пришлось реализовать интерфейс работы с сообщениями.

Asacub активно распространяется через SMS спам.

По числу атакованных мобильными банковскими троянцами пользователей лидируют Россия и

Германия:

География мобильных банковских угроз во втором квартале 2016 года

(процент атакованных пользователей)

Количество атакованных пользователей зависит от общего числа пользователей в стране. Чтобы

оценить и сравнить риск заражения мобильными банковскими троянцами в разных странах, мы

составили рейтинг стран по доле пользователей, атакованных мобильными банковскими троянцами,

от общего количества пользователей в стране.

https://securelist.ru/blog/phishing-blog/28826/zlovred-na-obmen/


Стр. 27 из 46

TOP 10 стран по проценту пользователей, атакованных мобильными банковскими троянцами


1 Россия 1,51

2 Австралия 0,73

3 Узбекистан 0,45

4 Корея 0,35

5 Китай 0,34

6 Украина 0,33

7 Дания 0,28

8 Германия 0,24

9 Турция 0,23

10 Киргизия 0,17


«Лаборатории Касперского» относительно мало (менее 10 000).

** Процент в стране уникальных пользователей, атакованных мобильными банковскими

троянцами, по отношению ко всем пользователям мобильного антивируса «Лаборатории

Касперского» в этой стране.

В втором квартале первое место заняла Россия (1,51%), где большая часть атак с использованием

мобильных банкеров пришлась на троянцев семейств Trojan-Banker.AndroidOS.Asacub, Trojan-

Banker.AndroidOS.Svpeng и Trojan-Banker.AndroidOS.Faketoken.

Китай (0,34%), занимавший первое место в прошлом квартале, спустился на пятое место.

Австралия (0,73%), как и в предыдущем квартале, заняла второе место в рейтинге, большая часть атак

в этой стране пришлась на представителей семейств Trojan-Banker.AndroidOS.Marcher и Trojan-

Banker.AndroidOS.Acecard.

В России и в Австралии у злоумышленников среди всех мобильных зловредов наиболее популярны

именно банковские троянцы. В этих двух странах самые высокие доли пользователей, атакованных

мобильными банкерами, среди всех атакованных пользователей, – 14%.


Стр. 28 из 46

Мобильные троянцы-вымогатели

Начиная с этого квартала, мы считаем количество мобильных троянцев-вымогателей по количеству

обнаруженных установочных пакетов, а не по количеству модификаций, как раньше.

В втором квартале 2016 года мы обнаружили 83 048 установочных пакетов мобильных троянцев-

вымогателей, что примерно столько же, как и в прошлом квартале, и практически в 7 раз больше, чем

в четвертом квартале 2015 года.

Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных

«Лабораторией Касперского» (Q3 2015 – Q2 2016)

Резкий рост количества установочных пакетов мобильных вымогателей в 2016 году обусловлен

активным распространением троянцев семейства Trojan-Ransom.AndroidOS.Fusob. В первом квартале

2016 года на это семейство пришлось боле 96% обнаруженных установочных пакетов мобильных

зловредов типа Trojan-Ransom, во втором квартале их доля составила 85%.

Самым популярным троянцем-вымогателем во втором квартале стал Trojan-

Ransom.AndroidOS.Fusob.h. С ним столкнулись без малого 60% пользователей, атакованных

мобильными вымогателями. После запуска этот троянец запрашивает права администратора,

собирает информацию об устройстве, в том числе GPS координаты и историю звонков, и загружает ее

на сервер злоумышленников. После чего он может получить команду на блокировку устройства.Во

втором квартале мы зафиксировали рост количества установочных пакетов, относящихся к троянцу

Trojan-Ransom.AndroidOS.Congur.b: их доля выросла с 0,8 до 8,8%. Этот троянец, ориентированный на

китайско-язычных пользователей, меняет пароль системы (PIN) или устанавливает его, если ранее

пароля не было, делая таким образом невозможным использование устройства. Требование выкупа

выводится на экран заблокированного устройства.

https://securelist.ru/analysis/ksb/28071/mobilnaya-virusologiya-2015/

https://securelist.ru/analysis/ksb/28071/mobilnaya-virusologiya-2015/


Стр. 29 из 46

По числу атакованных мобильными вымогателей пользователей лидируют Германия, США и Россия:

География мобильных троянцев-вымогателей во втором квартале 2016 года


Чтобы оценить и сравнить риск заражения мобильными троянцами-вымогателями в разных странах,

мы составили рейтинг стран по доле пользователей, атакованных мобильными Trojan-Ransom, от

общего количества пользователей в стране.

TOP 10 стран по проценту пользователей, атакованных мобильными троянцами-вымогателями


1 Канада 2,01

2 Германия 1,89

3 США 1,66

4 Швейцария 1,63

5 Мексика 1,55

6 Великобритания 1,51


Стр. 30 из 46

7 Дания 1,35

8 Италия 1,35

9 Казахстан 1,35

10 Нидерланды 1,15


«Лаборатории Касперского» относительно мало (менее 10 000).

** Процент в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по

отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

Во всех странах из этого TOP 10, кроме Казахстана, наиболее популярно семейство Fusob. В США

помимо Fusob достаточно популярно семейство Trojan-Ransom.AndroidOS.Svpeng. Эти троянцы-

вымогатели обычно требуют $100-$500 за разблокировку устройства.

В Казахстане основную угрозу для пользователей представляют троянцы-вымогатели семейства Small.

Это достаточно простой троянец-вымогатель, который перекрывает своим окном все остальные окна

на устройстве, таким образом блокируя его работу. За разблокировку злоумышленники обычно

требуют от 10 долларов.

Уязвимые приложения, используемые злоумышленниками

Во втором квартале 2016 года были по-прежнему популярны эксплойты для Adobe Flash Player. За

квартал было выявлено использование двух новых уязвимостей в данном программном продукте:

СVE-2016-4117

CVE-2016-4171

Эксплойт к уязвимости CVE-2016-4117 был добавлен в эксплойт-паки Magnitude и Neutrino. Уязвимость

CVE-2016-4171 использовалась группой ScarCruft в таргетированных атаках. Более подробно

о деятельности этой группы мы уже писали в середине июня.

Примечательным событием квартала стал уход эксплойт-паков Angler и Nuclear – бессменных лидеров

рынка. Уход Angler заставил участников рынка переориентироваться на другие эксплойт-паки для

распространения вредоносного ПО. В частности, мы зафиксировали небывалый рост популярности

пака Neutrino.

По итогам второго квартала статистика использования эксплойтов имела следующий вид:

https://securelist.com/analysis/publications/69727/how-exploit-packs-are-concealed-in-a-flash-object/

https://securelist.com/blog/research/75082/cve-2016-4171-adobe-flash-zero-day-used-in-targeted-attacks/

https://securelist.com/blog/research/75100/operation-daybreak/

https://securelist.ru/blog/issledovaniya/26855/ataka-na-realizaciyu-protokola-diffi-xellmana-v-eksplojt-pake-angler/


Стр. 31 из 46

Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых

приложений, второй квартал 2016 года

На графике видно, что, несмотря на уход лидеров рынка, распределение осталось практически

неизменным с прошлого квартала: на 1 п.п. уменьшились доли эксплойтов для уязвимостей Microsoft

Office (14%) и Java (7%), на 2 п.п. выросла доля Android (24%). Из этого можно сделать вывод, что спрос

на эксплойт-паки распределился на оставшихся игроков: RIG, Magnitude и Neutrino. Последний на

конец квартала являлся безоговорочным лидером по количеству попыток загрузки вредоносного ПО.

Вредоносные программы в интернете (атаки через веб-ресурсы)

Статистические данные в этой главе получены на основе работы веб-антивируса, который

защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной

веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными

могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а

также взломанные легитимные ресурсы.

Во втором квартале 2016 года нашим веб-антивирусом было обнаружено 16 119 489 уникальных

объектов (скрипты, эксплойты, исполняемые файлы и т.д.), и зафиксировано 54 539 948 уникальных

URL, на которых происходило срабатывание веб-антивируса.

https://securelist.ru/analysis/malware-quarterly/28455/it-threat-evolution-in-q1-2016/


Стр. 32 из 46

Онлайн-угрозы в финансовом секторе

Настоящая статистика основана на детектирующих вердиктах продуктов «Лаборатории

Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на

передачу статистических данных.

Количество пользователей, атакованных финансовым вредоносным ПО

Во втором квартале 2016 года в связи с постоянным появлением новых представителей

банковских троянцев и изменением функциональности уже имеющихся мы существенно обновили

список вердиктов, которые принадлежат классу банковских угроз. По этой причине по сравнению

с данными, опубликованными в предыдущих кварталах, значительно изменилось количество

жертв финансового вредоносного ПО. Для сравнения мы пересчитали статистику предыдущего

квартала с учетом всех зловредов из обновленного списка.

Во втором квартале 2016 года решения «Лаборатории Касперского» отразили попытки запуска

вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на

компьютерах 1 132 031 пользователей. По сравнению с предыдущим кварталом (979 607) количество

пользователей, атакованных финансовым вредоносным ПО, увеличилось на 15,6%.

Число пользователей, атакованных финансовым вредоносным ПО, второй квартал 2016

География атак

Чтобы оценить и сравнить степень риска заражения банковскими троянцами, которому подвергаются

компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент

пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный

период, от всех пользователей наших продуктов в стране.


Стр. 33 из 46

География атак банковского вредоносного ПО во втором квартале 2016 года


TOP 10 стран по проценту атакованных пользователей


1 Турция 3,45

2 Россия 2,92

3 Бразилия 2,63

4 Пакистан 2,60

5 Венесуэла 1,66

6 Тунис 1,62

7 Япония 1,61

8 Сингапур 1,58

9 Ливия 1,57

10 Аргентина 1,48


Стр. 34 из 46

Настоящая статистика основана на детектирующих вердиктах антивируса, которые были

предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на


* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского»

относительно мало (меньше 10 тысяч).

** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских

троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране

В втором квартале 2016 года лидером по доле пользователей, атакованных банковскими троянцами,

стала Турция. Одной из причин высокого количества финансовых угроз в данной стране стал всплеск

активности в данном регионе банковского трояна Gozi, разработчики которого объединили свои

усилия с создателями трояна Nymaim.

В России с банковскими троянцами хотя бы раз в течение квартала столкнулись 2,92% пользователей,

страна заняла второе место в рейтинге.

Бразилия замыкает тройку лидеров. Мы ожидаем всплеск активности финансовых угроз в странах

Латинской Америки в следующем квартале из-за предстоящих Олимпийских игр, который пройдут

в Бразилии. Очевидно, что олимпийская тема очень привлекательна для пользователей: в своих атаках

киберпреступники постоянно используют популярные спортивные события как приманку для

потенциальных жертв.

В TOP 5 стран с наименьшим процентом атакованных вошли Канада (0,33%), США (0,4%),

Великобритания (0,4%), Франция (0,43%) и Нидерланды (0,5%).

Доля атакованных пользователей в Италии – 0,62%, в Испании – 0,83%, в Германии – 1,03%.

TOP 10 семейств банковского вредоносного ПО

TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-

банкинга во втором квартале 2016 года (по проценту атакованных пользователей):

Название* % атакованных пользователей**

1 Trojan-Spy.Win32.Zbot 15,72

2 Trojan-Banker.Win32.Gozi 3,28

3 Trojan.Win32.Qhost 2,35

4 Trojan-Banker.Win32.Shiotob 2,27

5 Trojan-Banker.Win32.BestaFera 2,12

6 Trojan.Win32.Nymaim 1,98


Стр. 35 из 46

7 Trojan-Banker.Win32.ChePro 1,90

8 Trojan-Banker.Win32.Banbra 1,77

9 Trojan.Win32.Neurevt 0,67

10 Backdoor.Win32.Shiz 0,66

* Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена

пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу

статистических данных.

** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей,

атакованных финансовым вредоносным ПО.

Лидер данного рейтинга — Trojan-Spy.Win32.Zbot – стабильно занимает высокие позиции, и это

неслучайно, поскольку исходные коды этого троянца утекли в открытый доступ еще в 2012 году. Это

повлекло за собой появление новых банковских троянцев, которые позаимствовали фрагменты кода

Zbot.

Во втором квартале 2016 года наблюдался всплеск активности зловреда Trojan.Win32.Nymaim,

в результате которой троянец впервые попал в ТОР 10 и сразу занял шестое место. Изначально данный

троянец разрабатывался злоумышленниками для блокирования доступа к ценным данным

и последующего требования выкупа (ransomware), однако новая версия зловреда помимо своей

штатной функциональности троянца-вымогателя имеет функциональность троянца-банкера, который

осуществляет кражу финансовой информации. Данный факт объясняется тем, что создатели Nymaim

и создатели Gozi (который, кстати, также оказался в TOP 10 финансовых угроз данного квартала)

объединили усилия, и теперь владельцы Nymaim включили в исходный код своего детища фрагменты

кода троянца-банкера Gozi, который открывает злоумышленникам удаленный доступ к зараженным

компьютерам.

Постоянные резиденты данного рейтинга и одна из причин высокой активности финансовых угроз

в Бразилии – семейство троянцев Trojan-Banker.Win32.ChePro. Это банковские вредоносные

программы, позволяющие делать снимки экрана, регистрировать клавиатурные нажатия и читать

содержимое буфера копирования, т.е. имеющие функциональность, позволяющую использовать

вредоносную программу для атаки практически на любые системы онлайн-банкинга.

Злоумышленники стараются применять новые приемы, позволяющие как можно дольше избегать

обнаружения. Некоторые троянцы данного семейства используют геолокацию или запрашивают у

системы часовой пояс и версию Windows, чтобы заражать только пользователей определенного

региона.

Еще одно семейство, впервые попавшее в TOP 10 самых активных финансовых угроз квартала, –

Trojan.Win32.Neurevt. Представители данного семейства были впервые обнаружены в 2013 году

и используются киберпреступниками не только с целью кражи платежных данных пользователя

в системах онлайн-банкинга, но также для рассылки спама (некоторые образцы, например,


Стр. 36 из 46

отправляли спам-сообщения в Skype) и осуществления DDoS-атак (для этого злоумышленники

реализовали функционал, отвечающий за реализацию сценария «Slowloris HTTP flooding»).

Вредоносные программы-шифровальщики

На сегодняшний день в коллекции «Лаборатории Касперского» содержится около 26 тысяч

модификаций троянцев-шифровальщиков. При этом за один только второй квартал 2016 года мы

обнаружили 9 296 новых модификаций и 28 новых семейств шифровальщиков.

На следующей диаграмме хорошо виден рост количества новых версий троянцев-шифровальщиков за

последний квартал:

Количество новых модификаций шифровальщиков, Q1 2016 и Q2 2016

Среди наиболее нашумевших или необычных троянцев, появившихся во втором квартале, можно

выделить следующие:

CryptXXX (Trojan-Ransom.Win32.CryptXXX)

Данный шифровальщик стал массово распространяться посредством эксплойт-паков начиная

с апреля 2016. Ранние его версии содержали недоработки в алгоритме шифрования файлов,

что позволило «Лаборатории Касперского» выпустить утилиту для их расшифровки. К

сожалению, в последующих версиях злоумышленники внесли коррективы в свое творение, что

сделало невозможной расшифровку файлов, пострадавших от более поздних версий CryptXXX.

https://blog.kaspersky.ru/cryptxxx-decryption-20/11896/


Стр. 37 из 46

ZCryptor (Trojan-Ransom.MSIL.Zcryptor)

Этот зловред сочетает в себе нагрузку шифровальщика и метод распространения червя.

Троянцы-вымогатели как правило не обладают инструментами для самораспространения, и

ZCryptor как раз является примером исключения из этого правила. При заражении он, подобно

«классическим» червям, создает копии своего тела на съемных носителях и генерирует файлы

autorun.inf, чтобы осуществить автоматический запуск своего исполняемого файла при

подключении носителя к другой системе (если, конечно, на ней не выключен автозапуск).

RAA (Trojan-Ransom.JS.RaaCrypt)

Порой мы обнаруживаем шифровальщики, отличающиеся от других какими-то особенностями

функциональности, а иногда взгляд аналитика привлекает необычная реализация. В случае

RAA нетипичным оказался выбор языка программирования: зловред целиком написан на

JavaScript. Всё тело зловреда помещается в единственном файле .js, приходящем жертве в виде

вложения

в спам-письме. При запуске троянец демонстрирует жертве документ с поддельным

сообщением об ошибке, а сам тем временем шифрует пользовательские файлы.


Стр. 38 из 46

Bart (Trojan-Ransom.Win32.Bart)

Шифровальщик, который помещает файлы жертвы в запароленные ZIP-архивы, пароль же

вычисляет на основе алгоритма Диффи-Хеллмана на эллиптической кривой. Внешний вид

требований о выкупе и сайта оплаты Bart полностью копирует с небезызвестного Locky.

Satana (Trojan-Ransom.Win32.Satan)

Комбинация MBR-блокировщика и файлового шифровальщика, явно вдохновленная

аналогичной функциональностью известных троянцев Petya+Mischa. «Сатана», в отличие от

«Пети», не шифрует MFT, да и вообще, его MBR-модуль явно не дописан, так как проверка

введенного жертвой пароля не приводит ни к чему, кроме бесконечного цикла. Фрагмент кода,

демонстрирующий это, приведен ниже.

Количество пользователей, атакованных троянцами-шифровальщиками

Количество уникальных пользователей, атакованных шифровальщиками, Q2 2016

https://securelist.com/blog/research/74398/locky-the-encryptor-taking-the-world-by-storm/

https://securelist.ru/blog/issledovaniya/28473/petya-the-two-in-one-trojan/


Стр. 39 из 46

Во втором квартале 2016 года шифровальщиками было атаковано 311 590 уникальных

пользователей. Количество атакованных пользователей упало по сравнению с прошлым кварталом на

16%. Около 21% атак шифровальщиков пришлось на корпоративный сектор.

Важно помнить, что реальное число инцидентов выше: эта статистика отражает только результаты

сигнатурного и эвристического обнаружения, тогда как большая часть троянцев-шифровальщиков

детектируется продуктами «Лаборатории Касперского» поведенческими методами с выдачей общего

Generic-вердикта, который не позволяет различать типы вредоносного ПО.

TOP 10 стран, подвергшихся атакам троянцев-шифровальщиков


1 Япония 2,40

2 Италия 1,50

3 Джибути 1,46

4 Люксембург 1,36

5 Болгария 1,34

6 Хорватия 1,25

7 Мальдивы 1,22

8 Корея 1,21

9 Нидерланды 1,15

10 Тайвань 1,04


относительно мало (менее 10 000).

** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-

шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

Половину позиций в данном рейтинге занимают страны Европы.

На первое место в этом квартале поднялась Япония (2,40%), которая в прошлом квартале была на

девятом месте. В этой стране детектировались по большей части Teslacrypt, а также Locky и Cryakl.

Новички в рейтинге – Джибути (1,46%), Корея (1,21%) и Тайвань (1,04%).


Стр. 40 из 46

TOP 10 наиболее распространенных семейств троянцев-шифровальщиков

Название Вердикты* % атакованных пользователей**

1 CTB-Locker

Trojan-Ransom.Win32.Onion/ Trojan-Ransom.NSIS.Onion

14,59

2 Teslacrypt Trojan-Ransom.Win32.Bitman 8,36

3 Locky Trojan-Ransom.Win32.Locky 3,34

4 Shade Trojan-Ransom.Win32.Shade 2,14

5 Cryrar/ ACCDFISA Trojan-Ransom.Win32.Cryrar 2,02

6 Cryptowall Trojan-Ransom.Win32.Cryptodef 1,98

7 Cryakl Trojan-Ransom.Win32.Cryakl 1,93

8 Cerber Trojan-Ransom.Win32. Zerber 1,53

9

Scatter

Trojan-Ransom.BAT.Scatter/ Trojan-Downloader.JS.Scatter/ Trojan-Dropper.JS.Scatter/ Trojan-Ransom.Win32.Scatter

1,39

10 Rakhni

Trojan-Ransom.Win32.Rakhni/ Trojan-Downloader.Win32.Rakhni

1,13

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского».

Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими

свое согласие на передачу статистических данных.

** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного

семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

На первое место во втором квартале поднялось семейство шифровальщиков CTB-Locker (Trojan-

Ransom.Win32/NSIS.Onion). На втором месте расположилось семейство TeslaCrypt, которое в этом

квартале представлено одним вердиктом – Trojan-Ransom.Win32.Bitman. Ассоциировавшийся ранее

с TeslaCrypt троянец с вердиктом Trojan-Ransom.JS.Cryptoload для загрузки шифровальщика больше не

используется исключительно для данного семейства. Шифровальщик TeslaCrypt хоть и внес

значительный вклад в статистику, но к счастью, закончил свое существование в мае 2016 года – его

владельцы отключили свои серверы и выложили master ключ для расшифровки файлов.

В первую десятку попали семейства Cerber и Cryrar, которых не было в TOP 10 в прошлом квартале.

Шифровальщик Cerber распространяется через спам и эксплойт-паки. Сайт шифровальщика в сети Tor

переведен на множество языков. Среди особенностей Cerber можно отметить следующие:

https://blog.kaspersky.ru/raknidecryptor-vs-teslacrypt/12021/


Стр. 41 из 46

Дотошно исследует заражаемую систему: проверяет наличие антивируса, запуск под

виртуальной машиной (Parallels, VmWare, QEMU, VirtualBox) или под эмулятором Wine,

проверяет наличие различных утилит исследователей и аналитиков (для чего ищет

определенные процессы и файлы на диске), даже имеет некий черный список серийных

номеров системного диска.

Проверяет раскладку клавиатуры и IP-адрес заражаемой системы. Если обнаруживает, что

машина находится в одной из стран СНГ, прекращает заражение.

Пытается противодействовать антивирусам путем завершения их процессов, остановки

сервисов, удаления файлов.

Помимо оповещений пользователей о шифровании в виде TXT и HTML-файлов встречавшихся

ранее у других семейств, запускает VBS-скрипт, который воспроизводит звуковое сообщение с

текстом "Attention! Attention! Attention! Your documents, photos, databases and other important

files have been encrypted!".

Шифровальщик Cryrar, известный также как “Anti Cyber Crime Department of Federal Internet Security

Agency” (ACCDFISA), “Anti-Child Porn Spam Protection” и др., впервые появился еще в 2012 году.

Отличительной его особенностью является то, что он помещает файлы жертвы в запароленные

самораспаковывающиеся RAR-архивы. Как показала статистика KSN, этот «долгожитель» до сих пор не

уступает позиции своим более новым соперникам.

Страны – источники веб-атак: TOP 10

Данная статистика показывает распределение по странам источников заблокированных

продуктами «Лаборатории Касперского» интернет-атак на компьютеры пользователей (веб-

страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными

программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальный хост

мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления

доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления

географического местоположения данного IP-адреса (GEOIP).

Во втором квартале 2016 года решения «Лаборатории Касперского» отразили 171 895 830 атак,

которые проводились с интернет-ресурсов, размещенных в 191 стране мира.

Зафиксировано 54 539 948 уникальных URL, на которых происходило срабатывание веб-антивируса.

81% уведомлений о заблокированных веб-атаках были получены при блокировании атак с веб-

ресурсов, расположенных в десяти странах мира.


Стр. 42 из 46

Распределение по странам источников веб-атак, Q2 2016

Во втором квартале США (35,44%) вновь поднялись на первое место, причем с большим отрывом от

России (10,28%), поднявшейся с третьего на второе место. Нидерланды (6,91%), занимавшие в начале

года первое место, опустились на четвертое, потеряв 17,7 п.п. Замыкает первую тройку Германия

(8,9%). Из рейтинга выбыла Болгария, а новичок рейтинга – Канада (0,96%) на девятом месте.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры

пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей

продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в

отчетный период. Полученные данные являются показателем агрессивности среды, в которой

работают компьютеры

в разных странах.


1 Азербайджан 32,10

2 Россия 30,80


Стр. 43 из 46

3 Китай 29,35

4 Словения 27,54



7 Вьетнам 26,02

8 Алжир 25,63

9 Армения 25,09

10 Белоруссия 24,60

11 Бразилия 24,05

12 Франция 22,45

13 Молдова 22,34


15 Болгария 22,06

16 Италия 21,68

17 Чили 21,56

18 Катар 20,10

19 Индия 20,00

20 Португалия 19,84

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были

предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на


* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского»,

относительно мало (меньше 10 000).

** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей

продуктов «Лаборатории Касперского» в стране.

Лидер рейтинга изменился по сравнению с прошлым кварталом – им стал Азербайджан (32,1%),

который поднялся с четвертого на первое место. Россия (30,8%) опустилась с первого на второе место,

а Казахстан (27,03%) со второго на шестое. Китай (29,35%) по-прежнему на третьем месте.

По сравнению с первым кварталом из TOP 20 выбыли Испания, Литва, Хорватия и Турция. Новички

рейтинга: Болгария (22,06%), Чили (21,56%), Катар (20,10%) и Португалия (19,84%).


Стр. 44 из 46

В числе самых безопасных для серфинга в интернете стран Канада (15%), Румыния (14,6%), Бельгия

(13,7%), Мексика (13,2%), США (12,8%), Швейцария (12,4%), Новая Зеландия (12,1%), Чехия (12%),

Аргентина (9,9%), Япония (9,5%), Нидерланды (8,3), Швеция (8,2%), Германия (8%).

В среднем в течение квартала 19,4% компьютеров пользователей интернета в мире хоть раз

подвергались веб-атаке. По сравнению с первым кварталом 2016 года этот показатель уменьшился на

1,8 п.п.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских

компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения

файлов или съемных носителей либо изначально попали на компьютер не в открытом виде

(например, программы в составе сложных инсталляторов, зашифрованные файлы и т.д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы

антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и

данные по сканированию различных съемных носителей информации.

Во втором квартале 2016 года нашим файловым антивирусом было зафиксировано 249 619 379

уникальных вредоносных и потенциально нежелательных объектов.


Стр. 45 из 46

Страны, в которых пользователи подвергались наибольшему риску локального заражения

Для каждой из стран мы подсчитали, какой процент пользователей продуктов «Лаборатории

Касперского» столкнулся со срабатыванием файлового антивируса в отчетный период. Эта статистика

отражает уровень зараженности персональных компьютеров в различных странах мира.

TOP 20 стран по уровню зараженности компьютеров


1 Сомали 65,80

2 Вьетнам 63,33

3 Таджикистан 62,00

4 Россия 61,56


6 Бангладеш 60,19

7 Афганистан 60,00

8 Армения 59,74


10 Непал 59,66

11 Эфиопия 59,63

12 Лаос 58,43


14 Руанда 57,33

15 Джибути 56,07

16 Йемен 55,98

17 Венесуэла 55,76

18 Алжир 55,58

19 Камбоджа 55,56

20 Ирак 55,55


Стр. 46 из 46

Настоящая статистика основана на детектирующих вердиктах модулей OAS и ODS антивируса, которые

были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое

согласие на передачу статистических данных. Учитывались вредоносные программы, найденные

непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к

компьютерам — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.


относительно мало (менее 10 000).

** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные

угрозы, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

В первом квартале 2016 года лидер рейтинга не изменился – им по-прежнему является Сомали

(65,8%). Йемен (55,98%) опустился со второго на шестнадцатое место, Вьетнам (63,33%) поднялся с

восьмого на второе место. Замыкает первую тройку Таджикистан (62%). Россия поднялась с пятого на

четвертое место, хотя ее показатель снизился на 2,62 п.п. до 61,56%.

Новички рейтинга по сравнению с прошлым кварталом: Джибути (56,07%) на пятнадцатом месте,

Венесуэла (55,76%) на семнадцатом, Камбоджа (55,56%) на девятнадцатом.

Страны с наименьшим уровнем заражения: Хорватия (29%), Сингапур (28,4%), Германия (28,1%),

Норвегия (27,6%), США (27,1%), Швейцария (26,3%), Япония (22,1%), Дания (21,4%), Швеция (21,3%).

В среднем в мире хотя бы один раз в течение второго квартала локальные угрозы были зафиксированы

на 43,3% компьютеров пользователей – это на 1,2 п.п. меньше, чем в первом квартале 2016 года.

О «ЛАБОРАТОРИИ КАСПЕРСКОГО»«Лаборатория Касперского» – крупнейшая в мире частная компания, работающая в сфере информационной безопасности, и один из наиболее быстро развивающихся вендоров защитных решений. Компания входит в четверку ведущих мировых производителей решений для обеспечения IT-безопасности пользователей конечных устройств (IDC, 2014). С 1997 года «Лаборатория Касперского» создает инновационные и эффективные защитные решения и сервисы для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. «Лаборатория Касперского» – международная компания, работающая почти в 200 странах и территориях мира; ее технологии защищают более 400 миллионов пользователей по всему миру. Более подробная информация доступна на сайте www.kaspersky.ru.

Сайт «ЛабораторииКасперского»

Блог Евгения Касперского

B2B блог «ЛабораторииКасперского»

B2C блог «ЛабораторииКасперского»

Новостная служба«Лаборатории Касперского» Блог Kaspersky Academy

Securelist, ресурс экспертов «Лаборатории Касперского» с актуальной информацией о киберугрозах

https://twitter.com/securelist

https://www.facebook.com/SecurelistRussia/

http://www.kaspersky.ru/


http://eugene.kaspersky.ru/


http://business.kaspersky.ru/


http://blog.kaspersky.ru/


http://threatpost.ru/


http://academy.kaspersky.ru/

http://securelist.ru/

http://securelist.ru/




http://academy.kaspersky.ru/



kaspersky q2 report malware

Technology