Одной из последних тенденций у вымогателей (ransomware) является использование протокола удаленного рабочего стола (RDP) для заражения компьютеров. Emsisoft предупреждает о появлении нового семейства этих вредоносных программ.
В начале мая был обнаружен Dubbed Apocalypse – новый вымогатель, нацеленный на небезопасно настроенные сервера под управлением Windows, использующие слабые пароли и имеющие запущенную службу удаленного рабочего стола. Благодаря протоколу удаленного рабочего стола вредоносная программа может пытаться проникнуть на компьютер, в то время как злоумышленники могут взаимодействовать со скомпрометированной системой как если бы имели физический доступ к ней.
Согласно ранние варианты вымогателя Apocalypse устанавливались в папку %appdata%\windowsupdate.exe, после чего создавали ключ запуска под названием windows update в разделах реестра HKEY_CURRENT_USER and HKEY_LOCAL_MACHINE. Также вредоносная программа добавляет расширение .encrypted к зашифрованным файлам, создает записку с требованиями для каждого зашифрованного файла и использует для связи следующие email адреса: dr.compress(at)us1.l.a / dr.compress(at)bk.ru / dr.jimbo(at)bk.ru / dr.decrypter(at)bk.ru.
Второй вариант этой вредоносной программы, обнаруженный в начале июня устанавливается в папку %ProgramFiles%\windowsupdate.exe, создает ключ запуска, называющийся windows update svc и использует в качестве адреса для связи decryptionservice@mail.ru. 22-го июня был обнаружен третий вариант этого вымогателя, который инсталлируется в папку %ProgramFiles%\firefox.exe и создает ключ запуска под названием firefox update checker. Этот вариант вымогателя добавляет расширение .SecureCrypted к зашифрованным файлам и для связи использует адрес recoveryhelp@bk.ru.
Перед тем, как заразить систему, вымогатель проверяет, является ли русский, украинский или беларуский языком системы по умолчанию. Если это так, то вымогатель завершает свой процесс. Если же нет, то он копирует себя в систему по пути %ProgramFiles%\firefox.exe, затем для этого исполняемого файла устанавливает атрибуты скрытый и системный. Также изменяется метка времени для этого файла, для этого используется explorer.exe. Затем создается ключ запуска так, чтобы файл вымогателя стартовал при каждом запуске системы.
После установки вымогатель запускает свой файл firefox.exe, который отвечает за две задачи на зараженном компьютере. Он периодически проверяет, запущены ли в системе определенные процессы Windows и завершает их, если запущены. В это же время он начинает процедуру шифрования. Исследователи говорят, что вымогатель получает список всех съемных или удаленных сетевых дисков, но не шифрует последние из-за ошибки в процедуре шифрования.
После того, как шифровальщик получил список дисков, он переходит к этапу сканирования всех папок и шифрует все файлы в них. Исключением являются файлы из папки Windows и те, которые содержат следующие строки в названиях файлов: .exe, .dll, .sys, .msi, .com, .lnk, .tmp, .ini, .SecureCrypted, .bin, .bat, .dat, .Contact_Here_To_Recover_Your_Files.txt.
Перед тем, как зашифровать файл, вымогатель проверяет, не был ли он уже зашифрован. Затем файл шифруется, при этом используется специальный, основанный на XOR алгоритм. Далее шифровальщик добавляет .SecureCrypted к имени файла.
Apocalypse восстанавливает зашифрованному файлу исходную временную метку, после чего создает записку с требованием выкупа для файла. Кроме того, открывается окно с аналогичными требованиями, которое отображается пользователю. Исследователи также обнаружили, что авторы шифровальщика спрятали оскорбительное для Emsisoft послание в коде своего творения.
По мнению исследователей Emsisoft, современные способы защиты от вредоносных программ являются неэффективными против этой угрозы. В основном из-за того, что злоумышленники используют удаленный доступ, чтобы получить контроль над системой. Это значит, что они также способны отключить любые механизмы защиты, запущенные на зараженной системе. Однако, на данный момент доступен дешифратор для всех жертв Apocalypse, так что можно бесплатно получить свои файлы обратно.
«Наиболее важной линией обороны является правильная политика паролей, которая действует для всех учетных записей с удаленным доступом к системе. Это не распространяется на редко используемые учетные записи, созданные для тестирования. Еще лучше было бы отключить удаленный рабочий стол или Terminal Services Remote полностью, если они не требуются или, по крайней мере, использовать ограничения доступа по IP-адресам, чтобы разрешить доступ к этим службам только из доверенных сетей» - отмечает Emsisoft.
4 июня в семейно-досуговом центре «Кидзания» (ТРЦ «Авиапарк») откроется Центр кибербезопасности для детей и подростков. Это первый проект такого рода в России.
Юные посетители Центра смогут в игровой форме решать практические задачи по защите от кибератак и обеспечению сохранности информации и узнают последние тренды в области информационной безопасности. Через специально разработанные обучающие игры и головоломки они на практике потренируются в защите информации от взлома, научатся распознавать фишинговые атаки и противостоять другим опасностям в интернете.
Ребята освоят несколько профессий. Так, в рамках первой «Белый хакер», ребята попробуют себя в роли пентестеров — используя специальные инструменты, попытаются выявить потенциальную уязвимость в одной из организаций Кидзании и предложат свои рекомендации для повышения уровня защиты данных.
В роли «Специалиста центра кибербезопасности» кидзанийцы будут следить за работой компьютерной сети Кидзании из штаба - Центра кибербезопасности. Им предстоит проявить бдительность и максимально быстро выявить источник угрозы, чтобы предотвратить хакерскую атаку. Профессия «Архитектор систем кибербезопасности» позволит юным участникам научиться подбирать оптимальные средства защиты цифровой инфраструктуры для предотвращения возможных киберугроз.
«Мы убеждены, что крайне важно не только делиться последними решениями в сфере ИБ среди специалистов рынка, но и прививать базовые навыки цифровой гигиены подрастающему поколению с самого раннего возраста. Действовать проактивно по отношению к самому дорогому – нашим детям. Все мы понимаем, что дети восприимчивы и тем самым уязвимы. Центр кибербезопасности Security Vision в «Кидзании» станет эффективной и популярной площадкой для обретения важных навыков безопасного поведения в информационной среде», — прокомментировал Руслан Рахметов, генеральный директор Security Vision.
Помимо знаний и навыков в области безопасной работы с информацией, предложенные в Центре кибербезопасности задания помогут детям и подросткам развить логическое мышление и когнитивные способности. Кроме того, игротека позволит им приобрести необходимые знания и навыки для работы в области компьютерной безопасности, понять, чем они хотят заниматься, и определиться с выбором будущей профессии.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
