Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Opisi virusa, 09.05.2018, 11:00 AM

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da bi zaobišla antivirusne programe, krijući se unutar legitimnih procesa.

Ova sofisticirana tehnika je prvi put prezentovana u decembru prošle godine na konferenciji BlackHat. Od tada, nekoliko malvera je počelo da koristi ovu tehniku.

Prošlog meseca, istraživači Kaspersky Laba primetili su prvi ransomware koji koristi ovu tehniku - ransomware SynAck. SynAck nije novi malver - za njega se zna od septembra prošle godine, ali je sada privukao pažnju stručnjaka za bezbednost zbog toga što koristi Process Doppelgänging tehniku.

Programeri koji stoje iza SynAcka koriste i druge trikove kako bi izbegli detekciju i analizu: oni koriste obfuscator kako bi "zamračili" kod malvera i izlazak iz aplikacije ako je malver pokrenut u okviru sandboxa.

U decembru prošle godine primećeno je da SynAck napada uglavnom korisnike koji govore engleski jezik, preko RDP-a (Remote Desktop Protocol) i da je reč o tzv. brute-force napadu nakon kojeg sledi preuzimanje i instaliranje malvera. Nova verzija primenjuje daleko sofisticiraniji pristup sa tehnikom dvojnika procesa.

Tehnika dvojnika procesa podrazumeva ubacivanje koda koji zloupotrebljava Windowsov mehanizam NTFS transakcija fajlova da bi se sakrili maliciozni procesi, i izbegla detekcija od strane antivirusnog softvera. Na ovaj način napadači mogu da poture zlonamerne aktivnosti kao bezopasne, legitimne procese, čak i ako koriste već poznati maliciozni kod.

Tehnika dvojnika ne ostavlja iza sebe nikakakve vidljive tragove, što ovu vrstu napada čini veoma teškom za detektovanje.

Zanimljivo je da malver neće uraditi ništa ako računar žrtve koristi neko ćirilično pismo.

Pre nego što šifruje fajlove na uređaju žrtve, SynAck proverava hash funkcije svih pokrenutih procesa i servisa, koristeći u tu svrhu svoju nepromenjivu listu. Ako pronađe podudarnost on pokušava da prekine taj proces. Procesi koji se ovako blokiraju uključuju virtuelne mašine, kancelarijske programe, tumače skripti, aplikacije baze podataka, backup sisteme, aplikacije za gejming i ostale - najverovatnije kako bi se olakšalo zauzimanje vrednih fajlova koji bi inače bili zarobljeni u ovim pokrenutim procesima.

Istraživači misle da su napadi koji koriste ovu novu verziju SynAck ransomwarea ciljani napadi. Do sada je uočen ograničen broj napada u SAD, Kuvajtu, Nemačkoj i Iranu, gde se od žrtava tražilo da plate 3000 dolara.

„Trka između napadača i branilaca u okviru sajber prostora je neprekidna. Sposobnost tehnike dvojnika procesa da prikrije malver od najnovijih bezbednosnih mera predstavlja značajnu pretnju; pretnju koju su, očekivano, napadači veoma brzo iskoristili. Naše istraživanje pokazuje kako je SynAck, targetirani ransomware relativno niskog profila, iskoristio ovu tehniku kako bi poboljšao svoje sposobnosti prikradanja i infekcije. Na sreću, logika detekcije za ovaj ransomware je primenjena pre nego što se on pojavio na internetu,“ izjavio je Anton Ivanov, glavni analitičar malvera u kompaniji Kaspersky Lab.

Stručnjaci Kaspersky Laba preporučuje da redovno pravite rezervne kopije podataka, da koristite pouzdani antivirus i da uvek ažurirate softver na uređajima.

U slučaju preduzeća, trebalo bi edukovati zaposlene i IT timove, a osetljive podatke treba čuvati odvojeno, sa ograničenim pristupom.

Međutim, sve i ako vam se dogodi infekcija nekim ransomwareom - nemojte paničiti, poručuju iz Kaspersky Laba savetujući korisnicima da u tom slučaju pristupe njihovom sajtu No More Ransom sa nekog drugog, nekompromitovanog sistema, jer na ovom sajtu ćete možda naći alat koji vam može pomoći da povratite vaše fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Istraživači kompanije Avast upozorili su na piratske verzije popularnih igara u koje je ubačen malver Crackonosh. Crackonosh nije novi malver. On j... Dalje

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje