Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Izspiedējs SynAck izmanto izsmalcinātu slēpšanos

Izspiedējs SynAck izmanto izsmalcinātu slēpšanos

Ļaunprātīgās programmatūras attīstība nekad neapstājas un noziedznieki izmanto daudz un dažādus paņēmienus, lai šo programmatūru slēptu no antivīrusiem. Reizēm tādas programmatūras attīstība ir ļoti strauja. Piemēram, izspiedējvīruss SynAck, kas pazīstams kopš 2017. gada decembra (toreiz tas bija parasts kaitēklis bez īpašām „prāta spējām”), nesen ir pamatīgi modernizēts. Tagad tas ļoti efektīvi izvairās no detektēšanas un pielieto jaunu procesu maskēšanas metodi — klonēšanu.

 

Klusais uzbrukums

Kaitīgās programmatūras izstrādātāji bieži maskē (obfuscation) kodu, lai antivīrusi nevarētu detektēt kaitēkli. Parasti šim nolūkam izmanto īpašas pakošanas programmas. Tomēr arī drošības programmatūras izstrādātāji nav ar pliku roku ņemami, tāpēc gandrīz visi antivīrusi ir ātri iemācījušies veikt izpakošanu un izķert ļaunprogrammatūru. SynAck autori izmanto citu paņēmienu, kas ir darbietilpīgāks gan viņiem pašiem, gan drošības programmu izstrādātājiem: Kaitīgais kods tiek maskēts pirms kompilēšanas, tādēļ to ir daudz grūtāk detektēt.

Un tā nav vienīgā metode, kuru izmanto SynAck jaunā versija. Ļaundari ir pielietojuši arī visai sarežģītu procesu klonēšanas metodi — Process Doppelgänging. Faktiski Synack ir pirmais zināmais izspiedējvīruss, kurš izmanto šo maskēšanās paņēmienu. Par Process Doppelgänging plaša sabiedrība pirmoreiz uzzināja no pētnieku referāta konferencē Black Hat 2017. Pēc tam šo metodi pārņēma kibernoziedznieki un sāka pielietot dažās kaitīgajās programmās.

Process Doppelgänging izmanto NTFS failu sistēmas un novecojušā Windows procesu ielādētāja īpatnības; tāds ielādētājs ir visās šīs OS versijās, sākot ar Windows XP. Izmantojot to, ļaundari var izstrādāt bezdatnes kaitēkļus, kuri savu kaitīgo darbību uzdod par parastiem procesiem. Metode ir tehniski diezgan sarežģīta. Sīkāk par to lasiet atsevišķā rakstā vietnē Securelist.

Kaitēklim SynAck ir vēl divas īpatnības. Pirmkārt, tas pārbauda, vai ir uzstādīts pareizajā mapē datora sistēmā. Ja tā nav pareizā mape, tad izspiedējvīruss vienkārši nesāk darboties. Tas tiek darīts, lai kaitēkli nevarētu detektēt automātiskā izmēģināšanas vidē (sandbox). Otrkārt, SynAck pārbauda arī tastatūras iestatījumus. Ja tie atbilst noteiktiem parametriem (šajā gadījumā — atbalsta kirilicu), arī tad kaitēklis paliek neaktīvs. Tā ir plaši izplatīta metode, lai veiktu uzbrukumus tikai noteiktos reģionos.

Šifrē ar apdomu

Vidusmēra lietotājam, kam tādi kaitēkļu knifi nav svarīgi, SynAck ir tikai vēl viena, turklāt peļņaskāra ļaunprogrammatūra: tā pieprasa veselus 3000 ASV dolāru. Pirms datu šifrēšanas SynAck cenšas pārtraukt dažus procesus, kuri varētu tam neļaut veikt svarīgu datu šifrēšanu. Datnes, ar kurām strādā sistēma, nav iespējams modificēt, tāpēc Synack dara visu, lai sistēma tām neķertos klāt.

Izpirkuma maksas pieprasījums un instrukcija, kā sazināties ar noziedznieku, parādās sāknēšanas ekrānā. Diemžēl SynAck ir apveltīts ar drošu šifrēšanas algoritmu, kas izmantots ļoti apdomīgi. Pētniekiem pagaidām nav izdevies atrast nekādas kļūdas tā implementācijā, tāpēc pašlaik nav iespējams atgūt šifrētās datnes bez izpirkuma maksas.

 

 

Ir novērots, ka SynAck izplatās galvenokārt ar paroļu pārlasīšanas metodi, izmantojot attālinātas darbvirsmas protokolu (RDP) — tātad galvenokārt tas ir vērst uz lietotājiem uzņēmumos. Pieņēmumu, ka šie ir mērķtiecīgi uzbrukumi, apstiprina arī tas, ka pagaidām konstatēts vien nedaudz inficēšanas mēģinājumu, turklāt tikai ASV, Kuveitā un Irānā.

Vai esam gatavi jaunai izspiedējvīrusu paaudzei?

Arī tad, ja vispār nesaskarsieties ar SynAck, jau tā esamība vien liecina, ka izspiedējvīrusi attīstās, kļūst arvien bīstamāki, tāpēc ir aizvien grūtāk pret tiem aizsargāties. Atšifrētāji parādīsies retāk, jo ļaundari vairs nepieļauj kļūdas, kuras līdz šim pētniekiem ļāva izstrādāt atšifrētājus. Un lai gan izspiedējvīrusi mūsdienās zaudē sacensību ar slēptajiem kriptovalūtu racējiem (Kaspersky Lab to prognozēja), šāda veida uzbrukumi joprojām ir izplatīti visā pasaulē, un jebkuram interneta lietotājam nepieciešams pret tiem aizsargāties.

Tādēļ sniegsim dažus padomus, kā izvairīties no inficēšanās vai vismaz samazināt tās sekas.

  • Regulāri veiciet datu rezerves kopēšanu. Glabājiet rezerves kopijas atsevišķos datu nesējos, kuri nav pastāvīgi savienoti ar lokālo tīklu vai internetu.
  • Ja jums darbā nav vajadzīga Windows attālinātā darbvirsma, tad izslēdziet to.
  • Uzstādiet uzticamu drošības risinājumu ar iebūvētu ugunsmūri un īpašiem komponentiem, kas pasargā no izspiedējvīrusiem (par tiem vairāk: “Īpaša aizsardzība pret šifrējošo ļaunprogrammatūru”) piemēram, Kaspersky Small Office Security mazajam biznesam vai  Kaspersky Endpoint Security lielākiem uzņēmumiem. Kaspersky Lab produkti detektē SynAck par spīti visiem tā maskēšanās pūliņiem.

 

Kaspersky Small Office Security - Jūsu bizness droši aizsargāts - Izmēģināt vai pirkt tūlīt

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

5 + 4 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu