RDAT-вымогатель

Программы-вымогатели остаются одной из самых разрушительных угроз для домашних пользователей и организаций. Однократное проникновение может за считанные минуты зашифровать документы, фотографии и бизнес-данные, а затем выманить у жертв доступ к ним. Программа-вымогатель RDAT, ответвление обширного семейства Dharma, наглядно демонстрирует важность многоуровневой защиты и тщательного планирования восстановления.

Профиль угроз: краткий обзор RDAT

Исследователи Infosec обнаружили RDAT в ходе обширного обзора новых вредоносных программ. Это разновидность Dharma, специально разработанная для вымогательства данных: она шифрует файлы и вынуждает жертв платить за расшифровку. RDAT атакует как локальные диски, так и сетевые папки, намеренно избегая критически важных системных файлов, чтобы устройство оставалось загружаемым, а жертва могла прочитать требования выкупа.

Что видят жертвы

После запуска RDAT шифрует файлы самых разных типов. Имена файлов изменяются, включая уникальный идентификатор жертвы, адрес электронной почты злоумышленника и расширение .RDAT, например:
1.png становится 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

Далее следуют два требования выкупа: всплывающее окно с сообщением о том, что файлы зашифрованы, и текстовый файл «DAT_INFO.txt» с инструкциями по контактной информации. Операторы предлагают расшифровать до трёх файлов (с учётом ограничений по размеру и формату) в качестве доказательства, предупреждая при этом, что использование сторонних инструментов или изменение зашифрованных данных может привести к безвозвратной потере данных. Эти тактики призваны повысить доверие и вызвать чувство срочности, а не помочь вам.

Как RDAT сохраняется и распространяется

RDAT наследует стратегию Dharma по обеспечению устойчивости и противодействию восстановлению. Вредоносная программа копирует себя в %LOCALAPPDATA%, регистрирует записи автозапуска с помощью определённых ключей запуска и перезапускается после перезагрузки. Чтобы заблокировать быстрое восстановление, она удаляет теневые копии томов. Перед шифрованием она завершает процессы, которые могут оставлять файлы открытыми (базы данных, программы чтения документов и т.п.), обеспечивая максимальный охват. Она также пытается избежать «двойного шифрования» данных, уже затронутых другими программами-вымогателями, проверяя их по известному списку, что является несовершенной проверкой безопасности.

Выбор цели и геозонирование

Вредоносная программа собирает данные о геолокации, чтобы оценить вероятность того, что жертва заплатит. Если регион кажется неблагоприятным с экономической или геополитической точки зрения, она может полностью пропустить шифрование. Такое поведение направлено исключительно на максимизацию дохода от выкупа.

Почему платить — это проигрышная ставка

Расшифровка после атаки программы-вымогателя обычно невозможна без ключей злоумышленников, если только код не имеет серьёзных недостатков. Даже в этом случае платить рискованно: многие жертвы так и не получают рабочие дешифраторы. Оплата также финансирует дальнейшие атаки. Ответственный подход — уничтожение вредоносного ПО, восстановление данных из надёжных резервных копий и укрепление систем для предотвращения повторных инцидентов.

Подтвержденные каналы доставки

Вторжения семейства Dharma часто начинаются с открытого или слабо защищённого протокола удалённого рабочего стола (RDP). Злоумышленники используют атаки методом подбора и перебора по словарю, а после проникновения могут вывести из строя межсетевые экраны хостов. Помимо RDP, экосистема использует фишинг и социальную инженерию, вредоносную рекламу, ненадёжные источники ПО, спам-вложения и трояны-загрузчики/бэкдоры. Вредоносные данные обычно распространяются в виде архивов (RAR/ZIP), исполняемых файлов, скриптов (включая JavaScript) и документов (PDF, Office, OneNote). Некоторые семейства также распространяются через локальные сети и съёмные носители.

Сдерживание и восстановление

Удалите программу-вымогатель, чтобы остановить дальнейшее шифрование, но помните, что удаление не восстанавливает заблокированные файлы. Для восстановления необходимы чистые резервные копии с версионным статусом. Золотым стандартом является хранение копий в нескольких местах и на разных типах носителей, включая автономные хранилища, недоступные для вредоносных программ.

Распространенные векторы доступа и распространения угроз программ-вымогателей включают:

• Открытые/слабые службы RDP, подмена учетных данных и вход методом подбора паролей
• Фишинговые письма, приманки социальной инженерии, спам-вложения и ссылки, вредоносная реклама, троянизированные загрузки, скрытые загрузки, пиратское программное обеспечение и «кряки», поддельные программы обновления, а также заражение через загрузчики/бэкдоры; горизонтальное распространение через локальную сеть и съемные USB-накопители.

Итог

Вирус-вымогатель RDAT — это дисциплинированный, ориентированный на прибыль вариант Dharma: он сохраняется после перезагрузки, удаляет точки восстановления, атакует как локальные, так и общие данные и использует тактику давления для получения оплаты. Самый надёжный способ обеспечения устойчивости — это проактивное укрепление защиты, а также надёжное резервное копирование в автономном режиме и хорошо отработанное восстановление. Не платите; уничтожьте, восстановите и укрепите защиту, чтобы предотвратить следующую попытку.