Осторожно: новая тактика программ-вымогателей

Логотип компании
15.10.2022Автор
Осторожно: новая тактика программ-вымогателей
Эксперт ZDNet Дэнни Палмер рассказывает о новых атаках вымогателей, нацеленных на домашние компьютеры и использующих хитрые приемы.

Вредоносное ПО доставляется на компьютеры при помощи поддельных обновлений Windows 10 и антивирусного ПО. Действия программы-вымогателя остаются незамеченными, пока она занимается шифрованием файлов вплоть до момента, когда злоумышленники готовы потребовать выкуп за ключ дешифрования.

Эта кампания, названная Magniber и описанная специалистами HP Wolf Security, сегодня кажется довольно необычной, потому что она нацелена на получение от индивидуальных пользователей небольших платежей, не сравнимых с суммами, которые киберпреступники могут «заработать», атакуя предприятия. Это своего рода возврат к ранним кампаниям вымогателей, которые шифровали файлы на отдельных компьютерах. Однако Magniber использует инновационные методы, которые значительно затрудняют его обнаружение.

Цепочка атак начинается, когда пользователь посещает веб-сайт, контролируемый злоумышленниками и выглядящий как законные веб-сайты и сервисы.

«Существует множество способов направить пользователя на такой сайт. Либо они используют тайпсквоттинг, либо заражают веб-сайты вредоносным ПО, которое перенаправляет жертву на сайт загрузки. Можно также предположить, что причиной перенаправления становится вредоносное расширение браузера, которое устанавливается на устройстве жертвы», — рассказывает Патрик Шлепфер, аналитик вредоносных программ в HP Wolf Security.

Затем веб-сайт оповещает пользователя, что ему необходимо установить на компьютер важное обновление ПО — что это антивирус или что система Windows нуждается в нем — и обманом заставляет загрузить файл JavaScript, содержащий полезную нагрузку программы-вымогателя.

Распространение вредоносного ПО через файлы JavaScript, по-видимому, является новым методом, который появился совсем недавно. Ранее использовались файлы MSI и EXE.

Атака при помощи файла JavaScript может использовать метод, называемый DotNetToJscript. При этом исполняемый файл .NET загружается в память, а это значит что программа-вымогатель не сохраняется на диске. Таким образом атака обходит средства обнаружения и предотвращения, такие как антивирусное ПО, которое отслеживает файлы, записанные на диск, а не в память.

Именно этот исполняемый файл запускает код программы-вымогателя, который удаляет теневые копии файлов и отключает функции резервного копирования и восстановления Windows перед шифрованием файлов жертвы. Программа-вымогатель также получает права администратора и использует обход контроля учетных записей (UAC) для выполнения команд без предупреждения пользователя.

К тому времени, когда пользователь понимает, что что-то не так, уже слишком поздно — файлы зашифрованы и появилось сообщение с требованием выкупа за ключ дешифрования и ссылкой, по которой можно перейти, чтобы договориться о сделке. Жертвам говорят, что если они попытаются восстановить компьютер без уплаты выкупа, их файлы будут безвозвратно удалены.

Суммы, которые требуют с индивидуальных пользователей, могут показаться незначительным по сравнению с сотнями тысяч долларов, которые киберпреступники могут заработать на заражении крупного предприятия программами-вымогателями, но такой шантаж требует и гораздо меньших усилий.

Читайте также
Почему даже системные администраторы должны работать в строго контролируемых рамках? IT-World разбирался, как PAM поможет защитить и администратора и всю компанию от неприятных сюрпризов.

Наиболее надежный способ сберечь данные — хранить резервную копию отдельно, не в сети. Если киберпреступник зашифрует ваше устройство, он не сможет получить доступ к резервным копиям, что позволит вам восстановить данные без уплаты выкупа.

Источник: zdnet.com

Похожие статьи