ТОП-3 троянів потужних та цікавих програм- вимагачів 2020-2021 років

Активність кіберзлочинців у за останні 12 місяців була виявлена в багатьох сферах життєдіяльності. Втім варто зазначити, що використання троянів вимагачів залишається однією з найрозповсюдженіших методик крадіжки грошей як у пересічних користувачів ПК так і на рівні корпоративного сектору. Zillya! Antivirus пропонує вашій увазі ТОП-3 найбільш цікавих та небезпечних програм- вимагачів другої  половини 2020- першої половини 2021 років.

Ryuk – нова зірка світу ransomware

Потрапивши на ПК Ryuk отримує доступ до внутрішніх систем, що дозволяє вимкнути деякі антивірусні програми, що встановлені на комп’ютері, дозавантажити необхідне для цільової атаки додаткове ПЗ, та, власне, зашифрувати дані, за допомогою асиметричних та симетричних методів криптування. В цілому, Ryuk бере ПК під повний контроль, зупиняючи системні процеси та служби, а також блокує режими переналаштування та виправлення помилок системою.

В кінці-кінців, Ryuk видаляє ключ який яким були закриптовані дані та виходить на зв'язок з жертвою, інформуючи його про факт шифрування та надсилаючи лист RyukReadMe.txt з вимогою викупу за розшифрування даних.

Зазвичай, кібершахраї вимагають у жертв викуп у Bitcoin, надіслати які пропонується на зазначений у листі, Bitcoin гаманець. Суми викупів досить різні. Все залежить від розміру «жертви». Так, мінімально відомий викуп коливається у розмірі 1,5 Bitcoin, а максимально відома сума, що отримали кібершахраї склала близько 350 Bitcoin.

Троян STRRAT - імітатор шифрувальника

Троян має весь необхідний базовий функціонал, що притаманний даному виду шкідливого ПЗ. Він може красти приватні дані, доступи до акаунтів електронної пошти, онлайн банкінгів тощо. Окрім того зловмисники можуть, за допомогою STRRAT, брати під контроль інфікований трояном ПК.  В цілому функціонал STRRAT може бути досить широкий та кастомізований під цілі та завдання, які зловмисники хочуть досягти або вирішити з його допомогою.

Однак, у STRRAT є і досить цікавий функціонал, що відрізняє його з поміж більшості троянів. Він вміє імітувати шифрування файлів. Так STRRAT змінює розширення файлів на .crimson що може дати зрозуміти власнику системи що ПК інфікований трояном-шифрувальником. Втім, насправді процесу шифрування не відбувається.

Додаючи такий функціонал кіберзлочинці розраховують на те що хайп, що здійняли трояни-шифрувальники у 2020 році спричинив досить сталий ефект. Є досить багато випадків коли намагання самотужки розшифрувати закриптовані файли призводило до їх втрати.  

REvil: Новий лідер, нові функції, нові жертви...

REvil це реінкарнація відомого трояна шифрувальника Sodinokibi про який ми писали раніше. Як і більшість видів подібного шкідливого ПЗ, він розповсюджується шляхом СПАМ розсилок та інфікування персональних ПК співробітників компаній-цілей.

Нагадаємо, що як і у випадку з Sodinokibi схема зараження  в базовому варіанті залишається аналогічною. Перейшовши за посиланням чи відкривши архів вкладений в лист ви ініціювали  автоматичний запуск  JavaScript що стане першим кроком зараження ПК. З великою вирогідністю через деякий час ви побачите що не маєте доступу до файлів на вашому ПК та, власне, не зможете їм користуватися, адже він буде зашифрований та заблокований. А на головному екрані з’явиться повідомлення від кіберзлочинців, де вам досить детально пояснять що відбулось і скільки буде коштувати відновлення інформації. Також для складності відновлення даних REvil видалить приховані томи даних Windows.

Новітні версії REvil використовують логіку зараження, коли після активації на ПК спочатку шукають та отримують доступи до серверів, зв’язаних робочих станцій та ПК, а лише після цього ініціюється протокол шифрування.

Цікаво що новітній функціонал, що був доданий до REvil, використовує програмне забезпечення для пентестів Cobalt Strike, що додало ефективності.

Базові правила захисту від шкідливого ПЗ

Фахівці антивірусної компанії Zillya відзначають, що для захисту від потрапляння більшості видів шкідливого ПЗ та інших троянів-вимагачів на ваш ПК, варто дотримуватися кількох правил базової безпеки:

1.Не відкривайте листи від невідомих адресатів з вкладеними архівами і текстовими документами

2. Якщо відкрили такий лист не відкривати файли.

3. Видалити такий лист.

4. Не переходьте за посиланнями, що вкладені в «тіло» листа від незнайомих адресатів

5. Користуйтеся антивірусом, як на ПК, так і на мобільному пристрої.

6. Регулярно робіть копії важливої інформації

7. Слідкуйте за оновленнями операційної системи та встановлюйте всі запропоновані оновлення пов’язані з системою безпеки та виправленням уразливостей