Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Opisi virusa, 09.05.2018, 11:00 AM

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da bi zaobišla antivirusne programe, krijući se unutar legitimnih procesa.

Ova sofisticirana tehnika je prvi put prezentovana u decembru prošle godine na konferenciji BlackHat. Od tada, nekoliko malvera je počelo da koristi ovu tehniku.

Prošlog meseca, istraživači Kaspersky Laba primetili su prvi ransomware koji koristi ovu tehniku - ransomware SynAck. SynAck nije novi malver - za njega se zna od septembra prošle godine, ali je sada privukao pažnju stručnjaka za bezbednost zbog toga što koristi Process Doppelgänging tehniku.

Programeri koji stoje iza SynAcka koriste i druge trikove kako bi izbegli detekciju i analizu: oni koriste obfuscator kako bi "zamračili" kod malvera i izlazak iz aplikacije ako je malver pokrenut u okviru sandboxa.

U decembru prošle godine primećeno je da SynAck napada uglavnom korisnike koji govore engleski jezik, preko RDP-a (Remote Desktop Protocol) i da je reč o tzv. brute-force napadu nakon kojeg sledi preuzimanje i instaliranje malvera. Nova verzija primenjuje daleko sofisticiraniji pristup sa tehnikom dvojnika procesa.

Tehnika dvojnika procesa podrazumeva ubacivanje koda koji zloupotrebljava Windowsov mehanizam NTFS transakcija fajlova da bi se sakrili maliciozni procesi, i izbegla detekcija od strane antivirusnog softvera. Na ovaj način napadači mogu da poture zlonamerne aktivnosti kao bezopasne, legitimne procese, čak i ako koriste već poznati maliciozni kod.

Tehnika dvojnika ne ostavlja iza sebe nikakakve vidljive tragove, što ovu vrstu napada čini veoma teškom za detektovanje.

Zanimljivo je da malver neće uraditi ništa ako računar žrtve koristi neko ćirilično pismo.

Pre nego što šifruje fajlove na uređaju žrtve, SynAck proverava hash funkcije svih pokrenutih procesa i servisa, koristeći u tu svrhu svoju nepromenjivu listu. Ako pronađe podudarnost on pokušava da prekine taj proces. Procesi koji se ovako blokiraju uključuju virtuelne mašine, kancelarijske programe, tumače skripti, aplikacije baze podataka, backup sisteme, aplikacije za gejming i ostale - najverovatnije kako bi se olakšalo zauzimanje vrednih fajlova koji bi inače bili zarobljeni u ovim pokrenutim procesima.

Istraživači misle da su napadi koji koriste ovu novu verziju SynAck ransomwarea ciljani napadi. Do sada je uočen ograničen broj napada u SAD, Kuvajtu, Nemačkoj i Iranu, gde se od žrtava tražilo da plate 3000 dolara.

„Trka između napadača i branilaca u okviru sajber prostora je neprekidna. Sposobnost tehnike dvojnika procesa da prikrije malver od najnovijih bezbednosnih mera predstavlja značajnu pretnju; pretnju koju su, očekivano, napadači veoma brzo iskoristili. Naše istraživanje pokazuje kako je SynAck, targetirani ransomware relativno niskog profila, iskoristio ovu tehniku kako bi poboljšao svoje sposobnosti prikradanja i infekcije. Na sreću, logika detekcije za ovaj ransomware je primenjena pre nego što se on pojavio na internetu,“ izjavio je Anton Ivanov, glavni analitičar malvera u kompaniji Kaspersky Lab.

Stručnjaci Kaspersky Laba preporučuje da redovno pravite rezervne kopije podataka, da koristite pouzdani antivirus i da uvek ažurirate softver na uređajima.

U slučaju preduzeća, trebalo bi edukovati zaposlene i IT timove, a osetljive podatke treba čuvati odvojeno, sa ograničenim pristupom.

Međutim, sve i ako vam se dogodi infekcija nekim ransomwareom - nemojte paničiti, poručuju iz Kaspersky Laba savetujući korisnicima da u tom slučaju pristupe njihovom sajtu No More Ransom sa nekog drugog, nekompromitovanog sistema, jer na ovom sajtu ćete možda naći alat koji vam može pomoći da povratite vaše fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni malver se širi preko rezultata Google pretrage

Opasni malver se širi preko rezultata Google pretrage

Malver koji krade lozinke, kreditne kartice i kripto novčanike podmeće se žrtvama se kroz rezultate pretrage za piratske kopije CCleaner Pro Window... Dalje

Posle desetomesečne pauze malver Emotet se vratio i sada krade informacije o kreditnim karticama iz Chromea

Posle desetomesečne pauze malver Emotet se vratio i sada krade informacije o kreditnim karticama iz Chromea

Botnet Emotet sada pokušava da zarazi potencijalne žrtve modulom za krađu kreditnih kartica dizajniranim da prikupi informacije o kreditnim kartica... Dalje

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

ChromeLoader je “prodoran i uporan otmičar pregledača” koji može da izmeni podešavanja veb pregledača žrtava da bi prikazao rezultat... Dalje

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Istraživači iz firme za sajber bezbednost Zscaler upozorili su na fišing sajtove koji nude lažne instalacione programe za Windows 11 a zapravo inf... Dalje

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Istraživači iz CloudSEK-a upozorili su na lažnu Windows 11 nadogradnju koja krije malver koji krade podatke iz veb pregledača i novčanika kriptov... Dalje