Эксперты рассказали о новом опасном вирусе
Специалистами в сфере цифровой безопасности был обнаружен новый вирус-шифровальщик Tycoon, который отличается от других тем, что его совершенно не замечают антивирусы. Еще одно отличие нового вируса - он не шифрует файлы зараженного компьютера сразу после получения к ним доступа, а ждет команды к действию.
Чаще всего от данного вируса страдают сферы образования, разработчики ПО и компании малого и среднего бизнеса. Вирус был обнаружен специалистами во время работы по восстановлению информации в одном из заведений образования Европы.
Сложность в обнаружении Tycoon объясняется тем, что вирус использует малоизвестный формат файлов Java, что затрудняет выявление до момента шифровки файлов вирусом.
По словам специалистов, вирус начинает действовать стандартно: через небезопасные RDP-серверы, "видимые" из интернета. После этого, алгоритм действия злоумышленников меняется - они используют инъекцию IFEO, чем обеспечивают устойчивое присутствие в системе, запускают бэкдор и отключают антивирусы, установленные в системе.
После попадания в сеть компании, хакеры запускают модуль на Java, который шифрует все файловые серверы, подключенные к сети, в том числе - системы резервного копирования. Специалисты отмечают, что злоумышленники действуют при помощи формата файлов Java, который редко используется разработчиками.
После шифрования, Tycoon удаляет выходные файлы и переписывает их, чтобы точно исключить возможность их восстановления.
