Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Opisi virusa, 09.05.2018, 11:00 AM

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da bi zaobišla antivirusne programe, krijući se unutar legitimnih procesa.

Ova sofisticirana tehnika je prvi put prezentovana u decembru prošle godine na konferenciji BlackHat. Od tada, nekoliko malvera je počelo da koristi ovu tehniku.

Prošlog meseca, istraživači Kaspersky Laba primetili su prvi ransomware koji koristi ovu tehniku - ransomware SynAck. SynAck nije novi malver - za njega se zna od septembra prošle godine, ali je sada privukao pažnju stručnjaka za bezbednost zbog toga što koristi Process Doppelgänging tehniku.

Programeri koji stoje iza SynAcka koriste i druge trikove kako bi izbegli detekciju i analizu: oni koriste obfuscator kako bi "zamračili" kod malvera i izlazak iz aplikacije ako je malver pokrenut u okviru sandboxa.

U decembru prošle godine primećeno je da SynAck napada uglavnom korisnike koji govore engleski jezik, preko RDP-a (Remote Desktop Protocol) i da je reč o tzv. brute-force napadu nakon kojeg sledi preuzimanje i instaliranje malvera. Nova verzija primenjuje daleko sofisticiraniji pristup sa tehnikom dvojnika procesa.

Tehnika dvojnika procesa podrazumeva ubacivanje koda koji zloupotrebljava Windowsov mehanizam NTFS transakcija fajlova da bi se sakrili maliciozni procesi, i izbegla detekcija od strane antivirusnog softvera. Na ovaj način napadači mogu da poture zlonamerne aktivnosti kao bezopasne, legitimne procese, čak i ako koriste već poznati maliciozni kod.

Tehnika dvojnika ne ostavlja iza sebe nikakakve vidljive tragove, što ovu vrstu napada čini veoma teškom za detektovanje.

Zanimljivo je da malver neće uraditi ništa ako računar žrtve koristi neko ćirilično pismo.

Pre nego što šifruje fajlove na uređaju žrtve, SynAck proverava hash funkcije svih pokrenutih procesa i servisa, koristeći u tu svrhu svoju nepromenjivu listu. Ako pronađe podudarnost on pokušava da prekine taj proces. Procesi koji se ovako blokiraju uključuju virtuelne mašine, kancelarijske programe, tumače skripti, aplikacije baze podataka, backup sisteme, aplikacije za gejming i ostale - najverovatnije kako bi se olakšalo zauzimanje vrednih fajlova koji bi inače bili zarobljeni u ovim pokrenutim procesima.

Istraživači misle da su napadi koji koriste ovu novu verziju SynAck ransomwarea ciljani napadi. Do sada je uočen ograničen broj napada u SAD, Kuvajtu, Nemačkoj i Iranu, gde se od žrtava tražilo da plate 3000 dolara.

„Trka između napadača i branilaca u okviru sajber prostora je neprekidna. Sposobnost tehnike dvojnika procesa da prikrije malver od najnovijih bezbednosnih mera predstavlja značajnu pretnju; pretnju koju su, očekivano, napadači veoma brzo iskoristili. Naše istraživanje pokazuje kako je SynAck, targetirani ransomware relativno niskog profila, iskoristio ovu tehniku kako bi poboljšao svoje sposobnosti prikradanja i infekcije. Na sreću, logika detekcije za ovaj ransomware je primenjena pre nego što se on pojavio na internetu,“ izjavio je Anton Ivanov, glavni analitičar malvera u kompaniji Kaspersky Lab.

Stručnjaci Kaspersky Laba preporučuje da redovno pravite rezervne kopije podataka, da koristite pouzdani antivirus i da uvek ažurirate softver na uređajima.

U slučaju preduzeća, trebalo bi edukovati zaposlene i IT timove, a osetljive podatke treba čuvati odvojeno, sa ograničenim pristupom.

Međutim, sve i ako vam se dogodi infekcija nekim ransomwareom - nemojte paničiti, poručuju iz Kaspersky Laba savetujući korisnicima da u tom slučaju pristupe njihovom sajtu No More Ransom sa nekog drugog, nekompromitovanog sistema, jer na ovom sajtu ćete možda naći alat koji vam može pomoći da povratite vaše fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje