Антихакерское ПО-вымогатель

Защита персональных и корпоративных данных от современных вредоносных программ уже не опциональна, а стала практической необходимостью. Операторы программ-вымогателей продолжают совершенствовать свою тактику, инструменты и схемы социальной инженерии, чтобы максимально нарушать работу системы и вымогать деньги. Даже небольшие организации и домашние пользователи регулярно подвергаются атакам, а восстановление после них без подготовки может быть затруднено или невозможно. Программа-вымогатель AntiHacker, входящая в семейство Xorist, представляет собой именно такую угрозу.

ОБЗОР УГРОЗЫ И ИХ ПРОИСХОЖДЕНИЕ

AntiHacker — вредоносная программа, обнаруженная исследователями информационной безопасности и относящаяся к семейству программ-вымогателей Xorist. Угрозы на основе Xorist обычно построены на основе набора инструментов, который злоумышленники могут настраивать, изменяя отображаемое сообщение с требованием выкупа, расширение файла, языковые элементы и другие параметры. AntiHacker следует знакомой схеме Xorist: он шифрует данные жертвы, а затем требует оплату в обмен на предполагаемый ключ дешифрования.

ПОВЕДЕНИЕ ШИФРОВАНИЯ ФАЙЛОВ И МАРКИРОВКА

После компрометации системы AntiHacker ищет доступные пользователю данные на локальных дисках и, возможно, в сетевых папках. Целью атаки является широкий спектр типов файлов: документы, изображения, архивы, мультимедийные файлы и другие ценные хранилища данных. Каждый зашифрованный элемент переименовывается путем добавления строки «.antihacker2017» к исходному имени файла. Например, файл с исходным именем «1.png» становится «1.png.antihacker2017»; «2.pdf» становится «2.pdf.antihacker2017»; и эта закономерность повторяется для всех обработанных файлов. Добавленное расширение служит двум целям: визуально сигнализирует жертве о компрометации и помогает программе-вымогателю определить, какие объекты он уже обработал.

Записки с требованием выкупа, всплывающие окна и сообщения на обоях

После завершения процедуры шифрования AntiHacker меняет обои рабочего стола жертвы и выкладывает записку с требованием выкупа в двух параллельных форматах: всплывающее окно и текстовый файл с именем «КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt». Содержание сообщения во всплывающем окне и текстовом файле одинаково. Однако в варианте с обоями используются дополнительные элементы социальной инженерии, которые якобы оправдывают атаку тем, что пользователь посетил определённые сайты для взрослых или нелегальные сайты. Этот способ пристыдить жертву призван заставить её быстро и незаметно заплатить.

Странность кодировки символов

В системах, не использующих кириллицу, текст выкупа, отображаемый во всплывающем окне, может выглядеть как нечитаемая тарабарщина. Поэтому жертвы могут видеть повреждённое окно сообщения, но при этом находить читаемые инструкции внутри перемещённого текстового файла. Злоумышленники часто упускают из виду детали локализации; специалисты по защите могут использовать эти артефакты для группировки связанных инцидентов.

МЕХАНИКА ПРИНУЖДЕНИЯ: КЛЮЧЕВЫЕ ОГРАНИЧЕНИЯ ВХОДА И ЗАЯВЛЕНИЯ ОБ УГРОЗАХ

В инструкциях по выкупу указано, что жертвы должны связаться со злоумышленниками, чтобы получить ключ дешифрования. Они также налагают серьёзное стрессовое ограничение: разрешено всего 50 попыток ввода ключа, после чего, как утверждается в сообщении, зашифрованные данные будут безвозвратно утеряны. В дополнительных предупреждениях утверждается, что использование средств безопасности, перезагрузка или выключение компьютера сделают файлы нерасшифруемыми. Подобные методы запугивания часто встречаются в схемах программ-вымогателей и направлены на то, чтобы отбить у пользователей желание обращаться за профессиональной помощью или использовать безопасные процедуры восстановления.

ПОЧЕМУ ПЛАТИТЬ ВЫКУП РИСКОВАНО

Нет никаких гарантий, что киберпреступники, стоящие за AntiHacker (или любой другой программой-вымогателем), предоставят работающее решение для дешифрования после оплаты. Жертвы, заплатившие взнос, часто не получают ничего, получают сломанный ключ или становятся объектами повторного вымогательства. Платежи также финансируют текущие преступные операции и стимулируют дальнейшие атаки. Разумнее всего по возможности избегать оплаты и сосредоточиться на путях восстановления, которые находятся под вашим контролем.

РЕАЛИИ ВОССТАНОВЛЕНИЯ

Удаление AntiHacker из зараженной системы может остановить дальнейшее шифрование файлов, но не расшифрует уже заблокированные данные. Самый надежный способ восстановления — восстановление чистых копий пораженных файлов из резервных копий, которые были изолированы, удалены от сети или иным образом недоступны для вредоносного ПО. Если работоспособных резервных копий нет, возможности восстановления данных становятся крайне ограниченными.

ПЕРВИЧНЫЕ ПЕРЕНОСЧИКИ ИНФЕКЦИИ

Авторы программ-вымогателей используют ту же обширную экосистему распространения, что и другие категории вредоносных программ. AntiHacker не является исключением. Злоумышленники часто маскируют вредоносные нагрузки под легальное ПО или связывают их со взломанными или пиратскими программами, документами или установщиками. Простое открытие файла-ловушки может запустить цепочку загрузки или выполнения.

• Фишинговые и социальные приманки, рассылаемые по электронной почте, в личных сообщениях или в прямых сообщениях с вредоносными вложениями или встроенными ссылками.
• Скрытые или обманные загрузки, инициированные со взломанных или вредоносных веб-сайтов без явного согласия пользователя.
• Троянские загрузчики и бэкдоры, которые незаметно извлекают и запускают программы-вымогатели после внедрения.
• Ненадежные источники загрузки, такие как сайты с бесплатным программным обеспечением, сторонние хостинг-страницы и одноранговые (P2P) файлообменные сети.
• Интернет-мошенничество и кампании вредоносной рекламы, которые перенаправляют пользователей к наборам эксплойтов или вредоносным программам.
• Незаконные инструменты активации программного обеспечения («кряки» / кейгены) и поддельные обновления программного обеспечения, которые устанавливают вредоносное ПО вместо легитимных исправлений.
• Архивы (ZIP, RAR и т. д.), исполняемые файлы (EXE, RUN и т. д.), файлы сценариев (например, JavaScript) и форматы документов (PDF, Microsoft Office, OneNote и другие), используемые в качестве оружия для запуска цепочки заражения.

ОБЗОР ОБОРОНИТЕЛЬНОЙ СТРАТЕГИИ

Эффективная защита от программ-вымогателей охватывает людей, процессы и технологии. Нельзя полагаться на один уровень защиты; предполагается, что хотя бы один уровень выйдет из строя. Сочетайте информирование пользователей, защищённые конфигурации, строгую установку исправлений, надёжные методы резервного копирования и эффективные возможности обнаружения и реагирования, чтобы снизить как вероятность, так и последствия вторжений в стиле AntiHacker.

• Создавайте резервные копии важных данных.
• Поддерживайте операционные системы, приложения и инструменты безопасности в актуальном состоянии; своевременно устанавливайте исправления, особенно для служб удаленного доступа и обмена файлами.
• Используйте надежные решения по борьбе с вредоносными программами и обнаружению и реагированию на конечные точки (EDR) с поведенческим обнаружением программ-вымогателей и возможностями автоматического отката, где это поддерживается.
• Обеспечьте соблюдение прав пользователей с минимальными привилегиями; выполняйте ежедневные задачи под учетными записями без прав администратора и ограничьте доступ на запись в общие хранилища данных.
• Сегментируйте сети и ограничьте горизонтальные перемещения; изолируйте резервные хранилища и критически важные серверы на отдельных уровнях доступа.
• Требовать многофакторную аутентификацию (MFA) для удаленного входа в систему, привилегированных действий и консолей управления резервным копированием.

ЗАКЛЮЧЕНИЕ

Программа-вымогатель AntiHacker наглядно демонстрирует, как злоумышленники адаптируют семейства программ-вымогателей, основанные на наборах, такие как Xorist, для создания мощных схем вымогательства, ориентированных на конкретные регионы. Шифрование данных, маркировка имён файлов, многоязычные артефакты с требованием выкупа и принудительные сообщения — всё это разработано для стимулирования платежей. Однако самой действенной мерой противодействия остаётся подготовка: изолированные резервные копии, многоуровневая защита, информированные пользователи и чёткий план реагирования. Организации и частные лица, инвестирующие в эти меры безопасности, могут превратить потенциально катастрофическую атаку программы-вымогателя в инцидент, поддающийся восстановлению.