«Лаборатория Касперского» обнаружила крайне избирательного шифровальщика
Как сообщают в "Лаборатории Касперского", речь идет о новой версии уже известного зловреда SynAck. Как выяснилось, он первым из шифровальщиков начал использовать так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Если учесть, что в этом ПО применяются также и другие методы "обмана" антивирусных решений, то задача обнаружения его присутствия в системе становится довольно сложной.
SynAck известен с осени 2017 года. Тогда он атаковал преимущественно англоговорящих пользователей и задействовал для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Однако новая версия шифровальщика стала на порядок сложнее. К примеру, используемая в ней техника Doppelgänging эксплуатирует недокументированную возможность загрузки процессов в Windows и позволяет внедрить бесфайловый вредоносный код в легитимные системные процессы. В итоге шифровальщик не оставляет никаких следов в зараженной системе.
Как полагают исследователи, SynAck выбирает своих жертв довольно тщательно, поэтому сейчас атаки шифровальщика носят целевой характер. К настоящему моменту заражения зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа, который требует зловред, составляет 3 тыс. долл.
Для того чтобы избежать заражения этим и другими шифровальщиками, рекомендуется:
- регулярно создавать резервные копии файлов;
- использовать надежное защитное решение, которое может распознать зловреда по его поведению и откатить вредоносные изменения;
- всегда устанавливать все официальные обновления ПО на всех своих устройствах;
- корпоративным пользователям - обучать персонал и ИТ-команды навыкам кибербезопасности, а также отдельно хранить наиболее ценную информацию и ограничивать доступ к ней;
- жертвам шифровальщика - не паниковать и проверить, нет ли в открытом доступе утилиты для расшифровки.