«Лаборатория Касперского» нашла сложного и крайне избирательного шифровальщика

Аналитики «Лаборатории Касперского» обнаружили троянца-шифровальщика, который использует новую технику для обхода защитных решений и старательно избегает компьютеров с кириллической раскладкой на клавиатуре. Речь идёт о новой версии уже известного зловреда SynAck. Как выяснили эксперты, он первым из шифровальщиков начал использовать так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Если учесть, что в этом ПО применяются также и другие методы «обмана» антивирусных решений, то задача обнаружения его присутствия в системе становится довольно сложной.

SynAck известен с осени 2017 года. Тогда он атаковал преимущественно англоговорящих пользователей и задействовал для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Однако новая версия шифровальщика стала на порядок сложнее. К примеру, используемая в ней техника Doppelgänging эксплуатирует недокументированную возможность загрузки процессов в Windows и позволяет внедрить бесфайловый вредоносный код в легитимные системные процессы. В итоге шифровальщик не оставляет никаких следов в заражённой системе.

Как полагают исследователи, SynAck выбирает своих жертв довольно тщательно, поэтому сейчас атаки шифровальщика носят целевой характер. К настоящему моменту заражения зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа, который требует зловред, составляет $3000.

«Игра на опережение между атакующими и защитниками в киберпространстве никогда не останавливается. Новая техника Doppelgänging позволяет вредоносному ПО проскользнуть мимо радаров даже самых современных защитных технологий. Неудивительно, что злоумышленники не замедлили воспользоваться ей. Но к счастью, логика детектирования подобных угроз была добавлена в защитные решения прежде, чем они стали реальностью», – отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» распознают новую версию шифровальщика SynAck как Trojan-Ransom.Win32.Agent.abwa, Trojan-Ransom.Win32.Agent.abwb и PDM:Trojan.Win32.Generic.

Для того чтобы избежать заражения этим и другими шифровальщиками, «Лаборатория Касперского» рекомендует регулярно создавать резервные копии файлов; использовать надёжное защитное решение, которое может распознать зловреда по его поведению и откатить вредоносные изменения; всегда устанавливать все официальные обновления ПО на всех своих устройствах; корпоративным пользователям – обучать персонал и IT-команды навыкам кибербезопасности, а также отдельно хранить наиболее ценную информацию и ограничивать доступ к ней; жертвам шифровальщика – не паниковать и проверить, нет ли в открытом доступе утилиты для расшифровки, например, на сайте No More Ransom.

Ссылка на источник: http://safe.cnews.ru/news/line/2018-05-07_laboratoriya_kasperskogo_nashla_slozhnogo_i_krajne

Возврат к списку


Подписаться на рассылку:

 
Медицина и
здравоохранение Государственные
учреждения Нефтегазовая
промышленность Образование и
наука Строительство и
недвижимость Фармацевтика и
аптечные сети ИТ-инфраструктура.
Поставки
оборудования. Интеграционные
решения и заказное
ПО

Новости
05.04.2024 В популярную библиотеку под Linux заложили бэкдор. Скандал случился невероятный
04.03.2024 На рынке появилась распределенная СУБД Shardman для баз данных в сотни терабайт
02.02.2024 Критическая «дыра» в фундаментальной библиотеке позволяет взломать Ubuntu, Fedora и Debian и другие дистрибутивы Linux
10.01.2024 За новогодние праздники хакеры выложили в сеть 5 ТБ данных россиян. Это на 10% больше, чем в прошлом году
Пресс-центр





Microsoft         Microsoft Authorized Education Reseller         Sun         IBM          Cisco          Dr.Web          Kaspersky          Dell          HP          VMware          APC          Symantec          Norma          ViewSonic          Acer          Aladdin          Veeam          EMC          DEPO Computers           GFI          Intel