Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Opisi virusa, 09.05.2018, 11:00 AM

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da bi zaobišla antivirusne programe, krijući se unutar legitimnih procesa.

Ova sofisticirana tehnika je prvi put prezentovana u decembru prošle godine na konferenciji BlackHat. Od tada, nekoliko malvera je počelo da koristi ovu tehniku.

Prošlog meseca, istraživači Kaspersky Laba primetili su prvi ransomware koji koristi ovu tehniku - ransomware SynAck. SynAck nije novi malver - za njega se zna od septembra prošle godine, ali je sada privukao pažnju stručnjaka za bezbednost zbog toga što koristi Process Doppelgänging tehniku.

Programeri koji stoje iza SynAcka koriste i druge trikove kako bi izbegli detekciju i analizu: oni koriste obfuscator kako bi "zamračili" kod malvera i izlazak iz aplikacije ako je malver pokrenut u okviru sandboxa.

U decembru prošle godine primećeno je da SynAck napada uglavnom korisnike koji govore engleski jezik, preko RDP-a (Remote Desktop Protocol) i da je reč o tzv. brute-force napadu nakon kojeg sledi preuzimanje i instaliranje malvera. Nova verzija primenjuje daleko sofisticiraniji pristup sa tehnikom dvojnika procesa.

Tehnika dvojnika procesa podrazumeva ubacivanje koda koji zloupotrebljava Windowsov mehanizam NTFS transakcija fajlova da bi se sakrili maliciozni procesi, i izbegla detekcija od strane antivirusnog softvera. Na ovaj način napadači mogu da poture zlonamerne aktivnosti kao bezopasne, legitimne procese, čak i ako koriste već poznati maliciozni kod.

Tehnika dvojnika ne ostavlja iza sebe nikakakve vidljive tragove, što ovu vrstu napada čini veoma teškom za detektovanje.

Zanimljivo je da malver neće uraditi ništa ako računar žrtve koristi neko ćirilično pismo.

Pre nego što šifruje fajlove na uređaju žrtve, SynAck proverava hash funkcije svih pokrenutih procesa i servisa, koristeći u tu svrhu svoju nepromenjivu listu. Ako pronađe podudarnost on pokušava da prekine taj proces. Procesi koji se ovako blokiraju uključuju virtuelne mašine, kancelarijske programe, tumače skripti, aplikacije baze podataka, backup sisteme, aplikacije za gejming i ostale - najverovatnije kako bi se olakšalo zauzimanje vrednih fajlova koji bi inače bili zarobljeni u ovim pokrenutim procesima.

Istraživači misle da su napadi koji koriste ovu novu verziju SynAck ransomwarea ciljani napadi. Do sada je uočen ograničen broj napada u SAD, Kuvajtu, Nemačkoj i Iranu, gde se od žrtava tražilo da plate 3000 dolara.

„Trka između napadača i branilaca u okviru sajber prostora je neprekidna. Sposobnost tehnike dvojnika procesa da prikrije malver od najnovijih bezbednosnih mera predstavlja značajnu pretnju; pretnju koju su, očekivano, napadači veoma brzo iskoristili. Naše istraživanje pokazuje kako je SynAck, targetirani ransomware relativno niskog profila, iskoristio ovu tehniku kako bi poboljšao svoje sposobnosti prikradanja i infekcije. Na sreću, logika detekcije za ovaj ransomware je primenjena pre nego što se on pojavio na internetu,“ izjavio je Anton Ivanov, glavni analitičar malvera u kompaniji Kaspersky Lab.

Stručnjaci Kaspersky Laba preporučuje da redovno pravite rezervne kopije podataka, da koristite pouzdani antivirus i da uvek ažurirate softver na uređajima.

U slučaju preduzeća, trebalo bi edukovati zaposlene i IT timove, a osetljive podatke treba čuvati odvojeno, sa ograničenim pristupom.

Međutim, sve i ako vam se dogodi infekcija nekim ransomwareom - nemojte paničiti, poručuju iz Kaspersky Laba savetujući korisnicima da u tom slučaju pristupe njihovom sajtu No More Ransom sa nekog drugog, nekompromitovanog sistema, jer na ovom sajtu ćete možda naći alat koji vam može pomoći da povratite vaše fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje