Новый шифровальщик использует вредоносную технологию Doppelgänging

Олег Иванов 07 Мая 2018 - 14:03

...

Новый шифровальщик использует вредоносную технологию Doppelgänging

Аналитики «Лаборатории Касперского» обнаружили троянца-шифровальщика, который использует новую технику для обхода защитных решений и старательно избегает компьютеров с кириллической раскладкой на клавиатуре. Речь идёт о новой версии уже известного зловреда SynAck. Как выяснили эксперты, он первым из шифровальщиков начал использовать так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Если учесть, что в этом вредоносе применяются также и другие методы «обмана» антивирусных решений, то задача обнаружения его присутствия в системе становится довольно сложной.

SynAck известен с осени 2017 года. Тогда он атаковал преимущественно англоговорящих пользователей и задействовал для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Однако новая версия шифровальщика стала на порядок сложнее. К примеру, используемая в ней техника Doppelgänging эксплуатирует недокументированную возможность загрузки процессов в Windows и позволяет внедрить бесфайловый вредоносный код в легитимные системные процессы. В итоге шифровальщик не оставляет никаких следов в заражённой системе.

Как полагают исследователи, SynAck выбирает своих жертв довольно тщательно, поэтому сейчас атаки шифровальщика носят целевой характер. К настоящему моменту заражения зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа, который требует зловред, составляет 3000 долларов США.

«Игра на опережение между атакующими и защитниками в киберпространстве никогда не останавливается. Новая техника Doppelgänging позволяет вредоносному ПО проскользнуть мимо радаров даже самых современных защитных технологий. Неудивительно, что злоумышленники не замедлили воспользоваться ей. Но к счастью, логика детектирования подобных угроз была добавлена в защитные решения прежде, чем они стали реальностью», – отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» распознают новую версию шифровальщика SynAck как Trojan-Ransom.Win32.Agent.abwa, Trojan-Ransom.Win32.Agent.abwb и PDM:Trojan.Win32.Generic.

Ранее мы сообщали об открытии новой технологии инъекции кода Doppelgänging. Эта вредоносная схема работает на всех версиях Windows, обходя большинство современных продуктов безопасности.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 06 Апреля 2026 - 09:22

Сбои программ Сбои оборудования Домашние пользователи Корпорации

Вслед за банками перестала работать бесконтактная оплата в Vendista

В России в субботу начался массовый сбой в работе системы приёма безналичных платежей Vendista. О причинах инцидента и сроках его устранения оператор системы пока не сообщает. POS-терминалы Vendista широко используются компаниями малого и среднего бизнеса — для оплаты в магазинах, гостиницах, заведениях общественного питания, сфере услуг, при доставке еды навынос, а также в вендинговых автоматах.

Оператор системы, компания «ВендГрупп», работает с 2019 года и присутствует в России, Беларуси, Армении и Казахстане.

Как сообщает РБК, сбой начался 4 апреля. Он затронул только российский сегмент. Не проходили платежи через ряд банков-партнёров, включая ВТБ, «Т-Банк» и «Альфа-Банк». При этом через Сбербанк платежи у части пользователей проходили.

«Сроки восстановления неизвестны», — прокомментировали ситуацию РБК в «ВендГрупп».

Причину сбоя в компании также назвать не смогли. При этом в других странах присутствия никаких проблем не наблюдалось.

По оценке ИТ-эксперта Михаила Капустина, которую он дал в комментарии для «Российской газеты», причиной сбоя могла стать потеря соединения с одним из зарубежных серверов.

Это могло произойти как из-за ограничительных действий регулятора, так и на фоне военных действий: значительная часть таких серверов физически расположена в ОАЭ и других странах Персидского залива, которые нередко становятся целями ударов ракетами и дронами. Ещё одной возможной причиной, по мнению экспертов, опрошенных изданием, могла стать DDoS-атака.

«Сообщалось, что сбой затронул операции через ВТБ, Т-Банк и Альфа-Банк, тогда как Сбер у части пользователей продолжал работать. Это важная деталь, потому что она делает менее вероятной версию о неисправности самих терминалов как „железа“ и скорее указывает на проблему в платёжной обработке, маршрутизации или интеграции с частью банковских контуров», — отметил в комментарии для «Российской газеты» доцент Финансового университета при Правительстве РФ Кырлан Марчел.

По его оценке, наиболее вероятны три сценария: сбой в процессинге или платёжном шлюзе, ошибка при обмене данными с банками, а также неудачное обновление ПО или изменение конфигурации на серверах, из-за которых была нарушена отправка запросов.

Накануне, 3 апреля, произошёл массовый сбой в работе сразу нескольких крупнейших финансовых платформ. Он продолжался несколько часов.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!