Программа-вымогатель DeadLock

Современные кампании по использованию программ-вымогателей специально разработаны для того, чтобы использовать ваши личные или корпоративные данные в качестве рычага воздействия. После шифрования критически важных файлов злоумышленники оказываются в полной безопасности, если вы не подготовились заранее. Надёжные меры безопасности, многоуровневая защита и надёжные стратегии резервного копирования значительно снижают вероятность того, что одно вредоносное вложение, взломанный установщик или мошенническая загрузка приведут к сбою в работе компании или безвозвратной потере данных. Программа-вымогатель DeadLock — хороший пример того, почему эти принципы важны.

Что отличает DeadLock

DeadLock — это семейство программ-вымогателей, шифрующих файлы и присваивающих каждой жертве уникальный идентификатор. Во время атаки он шифрует пользовательские данные и переименовывает каждый зашифрованный файл, добавляя к исходному имени файла идентификатор жертвы и расширение «.dlock». Например, «1.png» становится «1.png.F8C6A8.dlock», а «2.pdf» — «2.pdf.F8C6A8.dlock». Этот идентификатор используется на протяжении всего процесса вымогательства для отслеживания жертвы и привязки платежей к ключам дешифрования. DeadLock также сбрасывает записку с требованием выкупа, имя файла которой содержит тот же идентификатор (например, «READ ME.F8C6A8.txt»), и меняет обои рабочего стола, чтобы подчеркнуть, что система была скомпрометирована.

Внутри записки о выкупе

В записке излагается несколько ключевых моментов, призванных направить дальнейшие действия жертвы. В ней утверждается, что зашифрованные файлы невозможно восстановить без «уникального ключа дешифрования», которым обладают только злоумышленники. Жертвам предлагается установить мессенджер Session Messenger, ориентированный на конфиденциальность, и связаться с ними, используя предоставленный идентификатор сеанса (опять же, соответствующий идентификатору жертвы, встроенному в имена файлов). Злоумышленники просят жертву отправить один зашифрованный файл и «личный ключ» (свой уникальный идентификатор) для проверки. Это распространённая тактика, призванная вызвать доверие путём расшифровки безвредного образца.

Тактика оплаты и давления

Операторы DeadLock требуют криптовалюту, в частности, биткоин или монеро. Они обещают, что после оплаты предоставят работающий дешифратор. Как и в случае с большинством операций с программами-вымогателями, никаких гарантий не предоставляется. В заметке также используется запугивание, чтобы отбить у жертв желание самостоятельно восстановить данные: в ней говорится, что жертвам не следует переименовывать зашифрованные файлы и использовать сторонние инструменты для дешифровки, поскольку утверждается, что такие действия могут привести к необратимому повреждению данных или увеличить стоимость восстановления. Эти предупреждения отчасти носят технический характер (неправильное обращение действительно может затруднить восстановление), а отчасти — психологическое давление.

Проверка реальности расшифровки

Опыт борьбы с программами-вымогателями в целом и заявления самих операторов подтверждают суровую истину: в большинстве случаев расшифровать файлы, зашифрованные DeadLock, невозможно без помощи и инструментов злоумышленников. Это оставляет два реалистичных пути восстановления: (1) рабочие резервные копии, которые были офлайн, удалены, версионированы или иным образом недоступны вредоносному ПО на момент атаки; или (2) заплатить выкуп и надеяться, что преступники выполнят условия сделки. Платить выкуп рискованно: злоумышленники могут исчезнуть, предоставить неисправный дешифратор или использовать оплату как сигнал о том, что вы — лёгкая цель для будущих вымогательств. По возможности, полагайтесь на неповреждённые резервные копии вместо того, чтобы платить выкуп.

Почему важно полное удаление

Даже после завершения шифрования, оставление программы-вымогателя в системе представляет опасность. Оставшиеся компоненты могут повторно шифровать вновь созданные файлы, собирать учётные данные, открывать бэкдоры или пытаться проникнуть в локальную сеть. Устранение вредоносной программы, подкреплённое сканированием конечных точек, проверкой памяти и проверкой запланированных задач, записей автозагрузки и контроллеров домена, критически важно для предотвращения повторного ущерба.

Распространенные векторы заражения DeadLock

Злоумышленникам нужна первоначальная точка опоры. Кампании по распространению программ-вымогателей связаны с несколькими каналами, которые используют доверие пользователей, их любопытство и желание сэкономить:

• Пиратское или «взломанное» коммерческое программное обеспечение, включая встроенные генераторы ключей и инструменты обхода лицензии, которые тайно устанавливают вредоносное ПО.
• Взломы программного обеспечения, кейгены и неофициальные активаторы, полученные с сайтов-хранилищ пиратского ПО или торрентов.
• Вредоносные вложения электронной почты: вредоносные документы Word (часто с поддержкой макросов), PDF-файлы, архивы ZIP, файлы сценариев или исполняемые файлы, замаскированные под счета-фактуры, уведомления об отгрузке или срочные формы отдела кадров.
• Вредоносная реклама (вредоносные объявления), перенаправляющая пользователей на наборы эксплойтов или мошеннические страницы загрузки.
• Платформы однорангового обмена и сторонние центры загрузки, которые переупаковывают установщики со скрытой полезной нагрузкой.
• Съемные носители (например, зараженные USB-накопители), которые автоматически запускаются или побуждают пользователей запустить зараженные файлы.
• Поддельные порталы технической поддержки, которые оказывают давление на пользователей, заставляя их загружать «исправления» или «обновления», на самом деле содержащие загрузчик вируса-вымогателя.
• Скомпрометированные легитимные веб-сайты, на которые были загружены скрытые загрузки или внедрены скрипты, доставляющие полезную нагрузку.

Лучшие методы обеспечения безопасности для укрепления вашей защиты

Многоуровневая защита значительно сокращает радиус атаки программ-вымогателей. Ниже приведены приоритетные меры защиты, которые помогают предотвратить успешное использование DeadLock и подобных угроз:

• Создавайте надежные автономные резервные копии критически важных данных.
• Незамедлительно устанавливайте исправления для операционных систем, приложений и встроенного ПО, особенно для уязвимых служб и офисных пакетов, подверженных злоупотреблениям со стороны макросов или эксплойтов.
• Используйте надежную защиту конечных точек/EDR с функцией обнаружения программ-вымогателей на основе поведения и автоматической изоляцией.
• Обеспечьте соблюдение требований к учетным записям пользователей с минимальными привилегиями; отключите локального администратора там, где это не требуется; отделите учетные данные администратора от повседневного использования.
• Ограничьте выполнение макросов, интерпретаторов скриптов и неподписанных двоичных файлов с помощью групповой политики, списка разрешенных приложений и контролируемого доступа к папкам.
• Внедрите фильтрацию безопасности электронной почты: изолируйте вложения, проверяйте ссылки и отмечайте подозрительные типы файлов или поддельные домены отправителей.
• Отключите автозапуск на сменных носителях и сканирование USB-устройств перед монтированием.
• Требовать многофакторную аутентификацию (MFA) для удаленного доступа, консолей администратора и интерфейсов управления резервным копированием.

Долгосрочные уроки

DeadLock подтверждает повторяющуюся тему, характерную для всех семейств программ-вымогателей: злоумышленникам не нужны передовые эксплойты, если пользователи регулярно загружают взломанные программы, открывают непроверенные вложения или просматривают ненадежные рекламные сети. Базовые методы безопасности, дисциплина установки исправлений, контроль доступа, отслеживаемое резервное копирование и осведомленность пользователей превращают потенциальный кризис в событие, поддающееся восстановлению. Инвестируйте в эти средства защиты уже сейчас; их стоимость гораздо ниже, чем выкуп, уплаченный под давлением.

Заключительные мысли

Устойчивость к программам-вымогателям формируется задолго до того, как атака коснётся вашего экрана. Понимая, как работает DeadLock, и внедряя многоуровневые профилактические и восстановительные меры, вы подготовите себя к противостоянию этой и другим подобным угрозам. Будьте скептически настроены ко всему, что вы не искали и не проверяли намеренно. Ваша бдительность — первая и зачастую лучшая линия защиты.