Аналитики «Лаборатории Касперского» обнаружили очередного троянца-шифровальщика – новую версию SynAck. Как сообщается, он имеет интересные особенности: использует новую технику для обхода защитных решений и старательно избегает компьютеров с кириллической раскладкой на клавиатуре. SynAck первым из шифровальщиков начал использовать так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Если учесть, что в этом ПО применяются также и другие методы «обмана» антивирусных решений, то задача обнаружения его присутствия в системе становится довольно сложной.
SynAck известен с осени 2017 года. Тогда он атаковал преимущественно англоговорящих пользователей и задействовал метод перебора пароля с последующей ручной установкой вредоносного файла. Однако новая версия шифровальщика стала на порядок сложнее. К примеру, используемая в ней техника эксплуатирует недокументированную возможность загрузки процессов в Windows и позволяет внедрить бесфайловый вредоносный код в легитимные системные процессы. В итоге шифровальщик не оставляет никаких следов в зараженной системе.
Как полагают исследователи, SynAck выбирает своих жертв довольно тщательно, поэтому сейчас атаки шифровальщика носят целевой характер. К настоящему моменту заражения зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа составляет 3000 долларов.
Новая техника Doppelgänging позволяет вредоносному ПО проскользнуть мимо радаров даже самых современных защитных технологий. Неудивительно, что злоумышленники не замедлили воспользоваться ею.
Для того чтобы избежать заражения этим и другими шифровальщиками, «Лаборатория Касперского» рекомендует регулярно создавать резервные копии файлов; использовать защитное решение, которое может распознать вредоносную программу по поведению и откатить вредоносные изменения; всегда устанавливать все официальные обновления ПО на всех своих устройствах.
Корпоративным пользователям рекомендуют обучать персонал и ИТ-команды навыкам кибербезопасности, а также отдельно хранить наиболее ценную информацию и ограничивать доступ к ней.