Теги → шифровальщик
Быстрый переход

Сетевые хранилища QNAP подверглись массивной атаке программы-шифровальщика

Три дня назад начались массивные атаки на сетевые хранилища QNAP. Используя незакрытые уязвимости в программном обеспечении хранилищ, шифровальщик Qlocker запаковывает файлы пользователей в архивы 7zip и защищает их паролем. Жертва атаки может получить пароль только после оплаты на счёт вымогателя 0,01 биткоина, что примерно равно $500. Компания QNAP настоятельно рекомендует всем срочно обновить три приложения, чтобы защититься от уязвимости.

Несколько дней назад QNAP исправила в своём ПО уязвимости CVE-2020-36195 и CVE-2020-2509. По предположению компании, шифровальщик Qlocker использует уязвимость CVE-2020-36195. Чтобы защититься от атак вымогателя, пользователям необходимо лишь обновить QTS, Multimedia Console и надстройку Media Streaming до последних версий. 

Также в компании порекомендовали не перегружать сетевые хранилища, если шифровальщик их запаковал и зашифровал. В QNAP изучают возможность вернуть пострадавшим пользователям контроль над файлами без уплаты выкупа.

Интересно, что некоторое время портал в сети Tor, где принимался выкуп и выдавались пароли на расшифровку файлов, имел в своём механизме приёма оплаты дыру. Специалистами по безопасности была обнаружена возможность подставлять в поле ввода данных о транзакции слегка изменённые чужие данные об оплате, после чего пользователь получал пароль на расшифровку без фактического внесения выкупа. Эта возможность была доступна в течение часа, после чего оператор Qlocker её прикрыл.

С 20 апреля счёт жертв Qlocker идёт на сотни в день. Компания QNAP ещё раз напоминает, что важно быстро обновить приложения, чтобы не попасть на удочку вымогателя.

Хакеры начали использовать новые вирусы-вымогатели для атак через уязвимость в Microsoft Exchange Server

Microsoft опубликовала предупреждение, в котором говорится об обнаружении «нового семейства программ-вымогателей», используемых для атак на серверы Exchange, на которых ещё не были исправлены обнаруженные недавно уязвимости нулевого дня.

Вредоносное ПО, способное шифровать файлы и похищать данные, получило имя DearCry. Для защиты от такого рода атак разработчики рекомендуют в срочном порядке осуществить установку выпущенного несколько дней назад исправления, которое устраняет несколько опасных уязвимостей в Exchange Server.

Напомним, о выявлении опасных уязвимостей в Exchange стало известно в начале этого месяца. На тот момент Microsoft обвинила китайскую хакерскую группировку Hafnium в атаках на десятки тысяч организаций, в ходе которых эксплуатировались упомянутые уязвимости. Однако на этой неделе компания ESET, работающая в сфере информационной безопасности, сообщила, что уязвимости в Exchange использует как минимум десять хакерских группировок, поддерживаемых правительствами разных стран.

Согласно имеющимся данным, злоумышленники активизировали работу, направленную на компрометацию уязвимых серверов, которые ещё не успели получить исправление, с целью внедрения вредоносов DearCry. «Мы обнаружили и сейчас блокируем новое семейство программ-вымогателей, которые используются после первоначального взлома локальных серверов Exchange, не получивших исправление. Microsoft защищает от этой угрозы, известной как Ransom:Win32/DoejoCrypt.A или DearCry», — говорится в сообщении Microsoft.

Разработчики также отметили, что клиентам, которые используют антивирус Microsoft Defender и регулярно устанавливают обновления, не требуется предпринимать каких-либо дополнительных действий кроме установки патча. Этого будет достаточно, чтобы обезопасить свои устройства от атак через уязвимости в Exchange.

Сервера Foxconn атаковала программа-шифровальщик. Данные не могут восстановить вторую неделю

Как сообщает Bleeping Computer, 29 ноября мексиканский завод Foxconn по производству электроники был атакован программой-шифровальщиком DoppelPaymer. Источник отмечает, что сетевая структура завода, за информационную безопасность которой отвечает американское подразделение, до сих пор полностью не восстановлена. Foxconn не стала платить выкуп в размере $34 млн за дешифровку взломанных серверов и всё восстанавливает сама.

Атака состоялась в выходной день и привела к шифровке от 1200 до 1400 серверов на предприятии в Сьюдад-Хуарес, Мексика, где, в частности, выпускается продукция для брендов Sharp и Belkin. Хакеры похитили 100 Тбайт незашифрованных данных до их архивирования и уничтожили до 30 Тбайт заархивированных данных из примерно 75 Тбайт резервных копий. Выкуп за дешифровку серверов и возврат данных было предложено сделать в биткоинах на сумму 1804,0955 BTC, что по курсу соответствовало примерно $34 млн.

Копия экрана с требованием выкупа. Источник изображения: Bleeping Computer

Копия экрана с требованием выкупа. Источник изображения: Bleeping Computer

Судя по всему, компания не стала платить выкуп. Сайт завода, отмечает источник, до сих пор недоступен. Также Bleeping Computer докладывает, что похищенная на заводе информация уже публикуется в Интернете на тематических сайтах. Правда, утечек личных данных сотрудников или какой-либо информации о финансовой деятельности предприятия пока не замечено. Представители Foxconn подтвердили источнику факт атаки и сообщили, что на предприятии уже повышен уровень информационной безопасности.

Суммарный ущерб от программ-шифровальщиков превысил 1 млрд долларов США

В 2020 году суммарный ущерб от программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации, превысил планку в один миллиард долларов США. Об этом свидетельствует исследование компании Group-IB.

Источник: Group-IB

Источник: Group-IB

По словам экспертов Group-IB, 1 млрд долларов — это нижняя граница суммарного ущерба от действий упомянутого вредоносного ПО в корпоративной среде. «Реальный ущерб многократно выше: зачастую пострадавшие организации предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы», — говорят исследователи.

По данным Group-IB, наиболее популярными целями вирусов-вымогателей были компании из Соединённых Штатов: на них пришлось около 60 % всех известных атак. Доля атак в странах Европы составила примерно 20 процентов. Порядка 10 % пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7 %). Наиболее опасными шифровальщиками являются Maze и REvil — на них приходится более 50 % успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.

Особое опасение у экспертов вызывает эволюционное развитие программ-шифровальщиков. Так, в последнее время злоумышленники взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. Такая схема действий киберпреступников делает ещё более ощутимой угрозу со стороны данного типа вредоносного ПО.

Подробнее с результатами аналитического исследования Group-IB можно ознакомиться на сайте group-ib.ru.

Распространители шифровальщиков угрожают публикацией похищенных данных

Компания Positive Technologies обнародовала развёрнутый отчёт, в котором рассматривается актуальные киберугрозы и текущие тенденции в мире сетевой преступности.

В целом, ситуация с кибербезопасностью усугубляется. Так, в последней четверти 2019 года количество уникальных инцидентов поднялось на 12 % по сравнению с предыдущим кварталом. При этом доля целенаправленных атак выросла на 2 %, достигнув 67 %.

Злоумышленники продолжают активно использовать программы, шифрующие данные на заражённом компьютере. Доля таких атак в общей массе заражений вредоносным ПО составила 36 % для юридических лиц и 17 % для частных лиц против соответственно 27 % и 7 % в третьем квартале 2019-го.

Более того, киберпреступники всё чаще применяют новую тактику шантажа в ответ на отказ жертв платить выкуп за расшифровку файлов: злоумышленники угрожают опубликовать похищенные данные.

«Мы связываем это с тем, что всё больше организаций делают резервные копии и не платят за расшифрование. Злоумышленники приняли контрмеры и теперь шантажируют жертв возможными санкциями за утечку персональных данных, обращение с которыми регулируется нормами Общего регламента по защите данных», — отмечает Positive Technologies.

Исследование также показало, что треть украденной у юридических лиц информации (32 %) составили данные платёжных карт, что на 25 % больше, чем в третьем квартале. 

До $5 млн за расшифровку: зловреды-вымогатели атакуют городские администрации

«Лаборатория Касперского» фиксирует резкий рост количества атак программ-шифровальщиков, нацеленных на различные муниципальные образования.

В частности, в уходящем году целями зловредов-вымогателей стали по меньшей мере 174 муниципальные структуры. Таким образом, общее количество атак на городские администрации подскочило по сравнению с 2018-м приблизительно на 60 %.

Эксперты отмечают, что среди шифровальщиков встречаются исключительно сложные образцы. Но общая схема работы таких зловредов сводится к кодированию файлов на компьютере жертвы с последующим требованием выкупа за ключи расшифровки.

«Лаборатория Касперского» отмечает, что в ходе атак на муниципальные образования сумма выкупа варьируется от 5000 до 5 000 000 долларов США. В среднем же за расшифровку данных злоумышленники требуют от городских администраций около одного миллиона долларов.

Столь высокие суммы объясняются тем, что совокупный ущерб от атак шифровальщиков на муниципальные образования, включая долгосрочные социально значимые последствия, может быть гораздо больше, ведь остановка работы городских служб негативно сказывается на благополучии региона.

Наиболее часто атакованными муниципальными структурами стали образовательные учреждения — на их долю пришлось около 61 % всех атак. Мэрии и муниципальные центры подверглись атакам в 29 % случаев. Ещё 7 % нападений пришлось на больницы, примерно 2 % — на муниципальные коммунальные службы. 

Фальшивые обновления Windows приводят к загрузке вымогателя

Специалисты компании Trustwave, работающей в сфере информационной безопасности, сообщили об обнаружении масштабной кампании по рассылке спам-сообщений, которые используются для загрузки на ПК жертв шифровальщика под видом обновлений для операционной системы Windows.

Microsoft никогда не отправляет по почте сообщения о необходимости обновить Windows. Очевидно, что новая кампания по распространению вредоносного ПО нацелена на людей, которые не знают этого.

Источник говорит о том, что пользователям рассылаются сообщения с заголовком «Установите последнее обновление Microsoft Windows прямо сейчас!» или «Критическое обновление Microsoft Windows!». В тексте письма говорится о необходимости как можно быстрее осуществить установку важных обновлений Windows, которые якобы прикреплены к письму. Сообщение действительно содержит вложенный файл, выглядящий как изображение в формате JPG, но на самом деле представляющий собой исполняемый файл .NET. Если вы получили похожее письмо, то ни в коем случае не нужно запускать этот файл, поскольку это приведёт к печальным последствиям.

Дело в том, что прикреплённый к письму файл является вымогателем Cyborg, который зашифрует все пользовательские файлы, заблокирует их содержимое и поменяет расширение на .777. Как и в случае с другими вымогателями, пользователю будет доставлен текстовый файл Cyborg_DECRYPT.txt, в котором содержатся инструкции касательно того, как можно расшифровать файлы. Нетрудно догадаться, что пользователю предлагается заплатить за расшифровку, но не стоит торопиться это делать, поскольку нет никакой гарантии, что это поможет.

Специалисты рекомендуют быть осторожными с неизвестными письмами, которые поступают от незнакомых людей и организаций. Следует проявлять бдительность и не открывать вложенные файлы, если вы не уверены в их происхождении.  

Вымогатель GandCrab уходит на покой, заработав 2,5 миллиарда долларов

Спустя почти полтора года после появления в сети, шифровальщик-вымогатель GandCrab завершает свою работу, а также просит всех компаньонов прекратить его распространение. Заполнив пустое место, возникшее после прекращения крупномасштабных атак таких известных вымогателей, как TeslaCrypt, CryptoWall и Spora, GandCrab впервые появился в сети 28 января 2018 года, когда стоявшие за ним лица начали продавать свои услуги на подпольных криминальных сайтах.

Создатели вымогателя-шифровальщика GandCrab заявляются о прекращении деятельности по распространению своего зловреда и оказанию услуг по расшифровке данных пострадавших от него лиц

Создатели вымогателя-шифровальщика GandCrab заявляют о прекращении деятельности по распространению своего зловреда и оказанию услуг по расшифровке данных пострадавших от него лиц

С тех пор GandCrab стал одним из самых распространённых вымогателей в сети, и количество его атак пошло на убыль лишь в течение последних нескольких месяцев. И вот, по словам исследователей безопасности Дамиана (Damian) и Дэвида Монтенегро (David Montenegro), которые следили за GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, создатели GandCrab объявили о закрытии своего вирусного бизнеса.

На изображениях, предоставленных порталу BleepingComputer Дамианом, мы видим, как создатели вымогателя заявляют, что GandCrab принёс в сумме всем участникам вирусной сети более 2 миллиардов долларов, полученных в качестве выкупов за расшифровку своих данных от жертв шифровальщика, при средней еженедельной прибыли в 2,5 миллиона долларов. Далее хакеры говорят, что лично заработали 150 миллионов долларов, которые обналичили и инвестировали в легальные бизнес-структуры.

Хакеры утверждают, что за период активной деятельности их зловреда смогла заработать 150 миллионов долларов

Хакеры утверждают, что за период активной деятельности их зловреда они смогли заработать 150 миллионов долларов, а в сумме все участники вирусной сети получили более 2 миллиардов долларов

В этом объявлении пользователь под ником GandCrab заявил от лица создателей одноименного шифровальщика, что они прекращают распространение своего детища, и попросил всех своих компаньонов, участвующих в проведении атак при помощи данного шифровальщика, также свернуть свою работу в течение 20 дней.

Хакеры также сообщили жертвам их шифровальщика, что оплатить расшифровку необходимую как можно скорее, поскольку ключи, необходимые для этого, будут удалены в конце месяца. Вероятно, что это будет последняя операция хакеров, и можно только понадеяться, что разработчики GandCrab последуют примеру других крупных вымогателей в прошлом и выпустят ключи для расшифровки после окончательного завершения своей деятельности. По крайней мере портал BleepingComputer обратился к разработчикам и попросил их сделать это.

Исторически крупномасштабные атаки вымогателей следуют друг за другом, заполняя освободившуюся нишу сразу, как только другой вымогатель прекращал свою работу. Будет совсем не удивительно, если в ближайшем будущем мы услышим о появлении нового массового вируса-шифровальщика, учитывая, что как отмечает GandCrab: «Мы доказали, что за злыми делами возмездие не приходит».

Хотя создатели GandCrab, скорее всего, и правда заработали много миллионов долларов, утверждение о чистой прибыли в размере 2,5 миллионов долларов в неделю, скорее всего, не соответствуют действительности. Это громкое заявление не удивительно, так как разработчики GrandCrab всегда были шутниками и вовлекали в свои игры исследователей в области безопасности, используя насмешки, шутки и ссылки на организации и исследователей в своём исходном коде. Было очевидно, что разработчики GandCrab следили за специалистами по безопасности и получали большое удовольствие от взаимных подколов.

Так, в своём первом выпуске GandCrab использовал доменные имена для своих управляющих серверов, основанные на именах организаций и сайтов, известных своими исследованиями программ вымогателей, например: bleepingcomputer.bit, nomoreransom.bit, esetnod32.bit, emsisoft.bit

Хакеры также часто передавали привет исследователям, которые анализировали код их шифровальщика.

Но это не всегда были только развлечения и игры, у создателей GandCrab также была и мстительная сторона. После того как AhnLab выпустила приложение для защиты от GandCrab, разработчики вымогателя связались с BleepingComputer, чтобы сообщить им, что они опубликовали в общий доступ уязвимость нулевого дня для антивируса AhnLab v3 Lite.

Создатели GandCrab выпустили уязвимость нулевого для антивируса AhnLab Lite в ответ на публикацию лабораторией заплатки, которая защищала от вымогателя

Создатели GandCrab выпустили уязвимость нулевого дня для антивируса AhnLab Lite в ответ на публикацию лабораторией заплатки, которая защищала от вымогателя

Выходки и успех хакеров, создавших GandCrab, не остались незамеченными для других участников Exploit.in, которые явно опечалились, что создатели известного вымогателя уходят из бизнеса.

Коллеги по цеху и участники сообщества Exploit.in опечалены тем, что GandCrab уходит на покой

Коллеги по цеху и участники сообщества Exploit.in опечалены тем, что GandCrab уходит из бизнеса

Главное, не стоит забывать, что хоть разные шутки GandCrab и были достаточно забавными, вымогатель в конечном счёте причинил много боли и страданий большему количеству людей, которые потеряли свои данные, работу и, возможно, даже бизнес. Прекращение деятельности GandCrab — это определённо хорошая новость, но, очень жаль, что, как и отметили хакеры, заслуженное возмездие их не настигло.

Эксперты считают, что шифровальщик WannaCry не уничтожен

После атаки шифровальщика WannaCry прошло уже полтора года. На данный момент вирус остановлен благодаря специалисту по информационной безопасности Маркусу Хатчинсу (Marcus Hutchins), который зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Именно это доменное имя с длинным и бессмысленным названием было обнаружено исследователем в коде вредоносной программы, и его регистрация позволила остановить распространение шифровальщика, который регулярно слал запросы к упомянутому домену. Однако, как оказалось, не всё так просто.

theverge.com

theverge.com

По данным коллег Хатчинса из компании Kryptos Logic, WannaCry не уничтожен, а просто ждёт. Сейчас его сдерживает «аварийный рубильник», но, если домен отключат, начнётся новая волна. Эксперты заявили о 17 миллионах запросов к домену каждую неделю, которые идут с 630 тысяч уникальных IP-адресов из 194 стран.

Больше всего заражённых компьютеров находится в Китае, Индонезии и Вьетнаме. Россия располагается на пятом месте. По данным «Лаборатории Касперского», в третьем квартале 2018 года на WannaCry пришлось 29 % всех атак вымогателей. Иначе говоря, в случае блокировки домена, сбоев или чего-то ещё, начнётся новая массированная атака.

twitter.com

twitter.com

Отметим, что в прошлый раз сильнее всего пострадали компании в России, Украине и Тайване. В частности, были затронуты компьютеры «Сбербанка», «МегаФона», РЖД, МВД и МЧС. Шифровальщик атаковал Windows 7, 8 и 8.1. Как оказалось, на Windows 10 его обезвреживал встроенный антивирус Microsoft. При этом другие защитные компоненты ОС почти всегда пропускали WannaCry.

В других странах пострадали автомобильные концерны Renault и Nissan, банкоматы в Китае, интернет-провайдеры Испании и Португалии, аэропорты и так далее. В целом, ущерб был нанесён весьма значительный.

ESET предупреждает о всплеске активности нового шифратора GandCrab

Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

Сложный шифровальщик использует новую технику для обхода защитных решений

Специалисты «Лаборатории Касперского» обнаружили весьма сложную вредоносную программу, которая шифрует файлы на компьютере жертвы с целью получения выкупа.

Речь идёт о новой версии зловреда SynAck, известного с конца 2017 года. Оригинальная модификация шифровальщика атаковала преимущественно англоговорящих пользователей, применяя брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла.

Новый зловред действует гораздо более хитроумно. Отмечается, что это первый шифровальщик, использующий так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Для этого бесфайловый вредоносный код внедряется в безобидные системные процессы.

Кроме того, шифровальщик применяет ряд других методов обхода антивирусных решений. В результате, обнаружение вредоносной программы в системе становится весьма сложной задачей.

Любопытно, что сейчас атаки шифровальщика носят целевой характер. Нападения зафиксированы в США, Кувейте, Германии и Иране. При этом шифровальщик избегает компьютеров с кириллической раскладкой на клавиатуре.

Средний размер выкупа, который требует зловред, составляет 3000 долларов США. Более подробную информацию о вредоносной программе можно найти здесь

Новый шифровальщик кодирует файлы без возможности восстановления

«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая атакует пользователей операционных систем Windows с целью наживы.

Зловред получил обозначение Trojan.Encoder.25129. Это троян-шифровальщик, кодирующий данные на инфицированном компьютере. Увы, из-за ошибки вирусописателей восстановление повреждённых шифровальщиком файлов в большинстве случаев невозможно.

После проникновения на ПК зловред проверяет географическое расположение пользователя по IP-адресу. По задумке злоумышленников, троян не должен кодировать файлы, если компьютер расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде программа шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Троян кодирует содержимое папок текущего пользователя, рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron.

За восстановление доступа к файлам злоумышленники требуют выкуп в криптовалюте — биткоинах. Но, даже заплатив деньги, что категорически не рекомендуется, жертвы зловреда не смогут вернуть свои данные. 

У жертв шифровальщика Cryakl появилась возможность восстановить файлы

Бельгийская федеральная полиция и «Лаборатория Касперского» провели кибероперацию, результатом которой стало создание утилиты для восстановления файлов, закодированных новыми версиями вымогателя Cryakl.

Вредоносная программа Cryakl, также известная как «Фантомас», атакует пользователей ещё с 2014 года. Сначала зловред распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. Позже письма стали приходить и от других инстанций, в частности, от ТСЖ.

В процессе шифрования файлов Cryakl создаёт длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. За восстановление данных злоумышленники требуют выкуп.

В ходе проведённой кибероперации бельгийской полиции удалось обезвредить несколько командных серверов, на которые заражённые машины отправляли ключи. Специалисты «Лаборатории Касперского», в свою очередь, проанализировали полученные данные и извлекли ключи для дешифровки закодированных файлов.

Функции для восстановления данных, зашифрованных новыми версиями зловреда Cryakl, уже добавлены в дешифратор RakhniDecryptor, доступный на сайте проекта No More Ransom.

Добавим, что проект No More Ransom существует с июля 2016 года. Он помог бесплатно расшифровать файлы, приведённые в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли. 

Новый троян-шифровальщик угрожает пользователям Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, вымогающей деньги у своих жертв: зловред получил обозначение Trojan.Encoder.24384, но создатели называют его «GandCrab!».

Троян атакует пользователей персональных компьютеров под управлением операционных систем Windows. Проникнув на ПК, вымогатель шифрует содержимое фиксированных, съёмных и сетевых накопителей, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания кодирования зловред отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

Троян также может собирать информацию о наличии запущенных процессов антивирусов. Вымогатель способен принудительно завершать процессы программ по заданному вирусописателями списку.

Закодированным файлам присваивается расширение *.GDCB. Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле трояна зашифрованными с использованием алгоритма XOR.

После выполнения вредоносных операций программа выводит сообщение с требованием выкупа. Увы, в настоящее время расшифровка файлов, закодированных зловредом, невозможна. 

Acronis выпустила бесплатное решение для защиты от программ-шифровальщиков

Компания Acronis объявила о выпуске бесплатного продукта Ransomware Protection, предназначенного для защиты от вредоносных программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы для возвращения доступа к ценной информации.

В основу Acronis Ransomware Protection положена технология Active Protection, распознающая нетипичные модели поведения приложений при доступе к файлам и нейтрализующая атаки программ-шифровальщиков. При этом для выявления аномалий в работе системных процессов используются не только эвристические механизмы, но и дополнительные функции, в том числе технологии машинного обучения и искусственного интеллекта на базе нейронных сетей.

В случае атаки программы-вымогателя Ransomware Protection блокирует вредоносный процесс и уведомляет об этом пользователя через сообщение во всплывающем окне. Если какие-то файлы были зашифрованы или повреждены во время атаки, приложение Acronis автоматически восстанавливает их из резервных копий.

Скачать установочный дистрибутив Active Protection можно по этой ссылке на сайте компании-разработчика. На данный момент решение доступно только для ОС Windows. Всем пользователям приложения Acronis предоставляет бесплатное облачное хранилище объёмом 5 Гбайт для резервного копирования и защиты важных файлов не только от вредоносных программ, но и от аппаратных сбоев, стихийных бедствий и иных событий, вызывающих потерю данных.

window-new
Soft
Hard
Тренды 🔥