Вымогательское ПО SynAck обходит обнаружение с помощью новой техники
Исследователи «Лаборатории Касперского» обнаружили первое в мире вымогательское ПО, использующее для обхода обнаружения новую беcфайловую технику внедрения кода Process Doppelgänging (SecurityLab рассказывал о данной технике в конце прошлого года).
Process Doppelgänging предполагает использование встроенной в Windows функции NTFS Transactions (устаревшей реализации загрузчика процесса) и работает на всех современных версиях Windows, в том числе на Windows 10. С помощью NTFS Transactions злоумышленники запускают вредоносный процесс, заменяя память легитимного процесса, в результате чего инструменты для мониторинга и антивирусные решения принимают вредоносный процесс за легитимный.
Эксперты «Лаборатории Касперского» обнаружили новый вариант вымогательского ПО SynAck, использующий вышеописанную технику для обхода обнаружения. Попав на систему, вредонос определяет раскладку клавиатуры компьютера и сверяет полученные данные со вшитым в него списком. SynAck атакует пользователей в США, Кувейте, Иране и Германии, но обходит стороной компьютеры, где используется русский, украинский, белорусский, армянский, грузинский, азербайджанский, казахский, узбекский или таджикский язык.
Вредонос также способен предотвращать автоматический анализ песочницы, проверяя директорию, из которой он выполняется. При выполнении вредоносного файла из «неправильной» директории SynAck прерывает процесс инсталляции и самоуничтожается.
После установки на системе жертвы SynAck шифрует содержимое каждого файла с помощью алгоритма AES-256-ECB и требует выкуп за их расшифровку. Согласно отображаемому шифровальщиком уведомлению, киберпреступники не вымогают деньги, а лишь «предлагают свои услуги по восстановлению файлов», причиняющих «неудобство».
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш