Семейства вымогателей FileCoder активизировались

в 4:57, , рубрики: ransomware, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

Вредоносное ПО, которое шифрует файлы пользователей, а затем просит деньги за расшифровку, не является новым. Такие семейства получили общее название Filecoder и являются распространенным типом угроз — их называют вымогателями (ransomware). За последние несколько месяцев мы отметили значительный рост активности шифровальщиков FileCoder. Антивирусные продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode.

Наша система телеметрии ESET Live Grid показывает, что еженедельное количество обнаружений объектов Win32/Filecoder выросло более чем на 200% с июля 2013 г. — в сравнение со средним показателем за январь-июнь того же года.

Семейства вымогателей FileCoder активизировались

Больше всего пострадала от деятельности этого вредоносного ПО Россия. В других странах активность присутствует в меньшей степени.

Семейства вымогателей FileCoder активизировались

Как и в случае с другими видами троянских программ, киберпреступники используют различные методы для установки Filecoder на компьютеры пользователей:

  • Drive-by атаки с использованием эксплойтов для скрытной установки;
  • Вложения электронной почты;
  • Использование другого вредоносного ПО, например, загрузчика (downloader);
  • Ручная установка атакующим через RDP.

В одном из сценариев заражения мы наблюдали, что модификация Win32/Filecoder.Q (и позднее Win32/Filecoder.AA, Win32/Filecoder.W) распространялась через бэкдоры, например, Poison Ivy RAT. Злоумышленники отправляли пользователю бэкдор через электронную почту. В случае если он был установлен на компьютер пользователя, вредоносный код связывался со своим управляющим C&C-сервером и получал через него вымогатель Filecoder.

В другом сценарии злоумышленники использовали RDP для ручной установки Filecoder на компьютер. У нас нет достаточной информации для того, чтобы сказать, каким образом атакующие смогли использовать для этой цели RDP и получить учетные данные для доступа.

FileCoder использует обширный спектр возможностей при шифровании файлов в различных своих модификациях.

  • Шифрование может быть реализовано с использованием собственного кода либо с помощью стороннего легитимного инструмента (например LockDir, WinRar и т. д.).
  • Некоторые модификации вредоносного кода шифруют файл целиком, другие — только часть файла.
  • Используются различные методы для избавления от оригинального файла. В некоторых случаях файл удаляется, но потом может быть восстановлен с использованием различных инструментов восстановления файлов (recovery tools). В другом случае файл удаляется безвозвратно специальными средствами (например, с использованием утилиты Microsoft SysInternals SDelete) или просто полностью перезаписывается.

Вымогатель использует следующие методы шифрования:

  • Blowfish
  • AES
  • RSA
  • TEA

…и ключи шифрования могут находиться:

  • Жестко зашиты (hard coded) в файле FileCoder;
  • Получены вручную (через опцию командной строки или диалоговое окно, если атакующий имеет доступ к компьютеру через RDP);
  • Произвольно сгенерирован вредоносным кодом.

Семейство Filecoder, которое распространяется через RDP, заметно улучшило свою тактику с использованием трюков жульнического ПО (scareware/rogueware) и через GUI-интерфейс преподносит себя как «Anti-Child Porn Spam Protection» или «ACCDFISA» (Anti Cyber Crime Department of Federal Internet Security Agency). Разумеется, такого агентства не существует. Всеобъемлющую информацию о подобных вариантах можно найти в блоге компании Emsisoft. Такая модификация обнаруживается ESET как Win32/Filecoder.NAC, она используется злоумышленниками уже длительное время. Следует отметить, что именно эта модификация отличается от других количеством денежного выкупа, которое он просит за расшифровку — 3000€. Видимо, это связано с потенциальными целями злоумышленников, которые выбирают для компрометации различные организации. При этом другие представители этого семейства вымогают суммы 100 – 200€.

Вариант Win32/Filecoder.BH, также известный как DirtyDecrypt, имеет в своем снаряжении интересный способ отображения сообщения о выкупе для пользователя. В процессе цикла шифрования содержимого графических файлов и документов вредоносный код добавляет в конец зашифрованного файла информацию с таким сообщением, которое показано ниже.

Семейства вымогателей FileCoder активизировались

Другой вариант Win32/Filecoder.BQ пытается воздействовать на пользователя путем отображения таймера обратного отсчета, который показывает, сколько осталось времени до истечения возможности расшифровать файлы. Интересно, что наряду с обычными для вымогателей способами оплаты выкупа в виде MoneyPak или Ukash, он позволяет использовать для этого и Bitcoins. Более детальную информацию можно найти в нашей энциклопедии угроз Win32/Filecoder.BQ.

Некоторые варианты FileCoder злоумышленники генерируют с использованием специального инструмента — билдера (builder), аналогичного билдеру банковских троянских программ. Этот инструмент позволяет злоумышленнику выбрать типы файлов, подлежащие шифрованию, метод шифрования, текст сообщения и т. д.

Семейства вымогателей FileCoder активизировались

Некоторые модификации FileCoder используют слабый шифр, неправильную реализацию шифрования, или хранят пароль для расшифровки там, откуда его просто получить. В таком случае расшифровать файлы может быть значительно проще, но в большинстве случаев злоумышленники не допускают таких ошибок и восстановить зашифрованные файлы без ключа практически невозможно.

В случае если вы используете RDP, примите надлежащие меры по обеспечению безопасности, которые не позволят произвольным пользователям получать удаленный доступ к вашей системе. Рассмотрите возможность использования VPN с механизмом двухфакторной аутентификации, которая позволит вам оставаться в безопасности. Кроме этого, хорошая практика — защищать настройки вашего антивирусного ПО специальным паролем, чтобы злоумышленник не мог изменять их.

Семейства вымогателей FileCoder активизировались

Автор: esetnod32

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js