Zeo Ransomware

Защита персональных и корпоративных систем от разрушительных вредоносных программ крайне важна, поскольку даже один взлом может привести к долгосрочным последствиям. Программы-вымогатели остаются одной из самых разрушительных угроз, и Zeo Ransomware — яркий пример того, насколько изощрёнными стали современные вымогательские операции.

Новый вариант со знакомыми корнями

Zeo был обнаружен в ходе планового мониторинга угроз и быстро связан с давно существующим семейством программ-вымогателей Dharma. После проникновения в систему он шифрует данные и изменяет имена файлов, добавляя идентификатор жертвы, адрес электронной почты злоумышленников и расширение .zeo. Типичным примером является преобразованный файл, такой как 1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo.

После этапа шифрования Zeo отправляет два сообщения с требованием выкупа: всплывающее окно с подробными инструкциями и текстовый файл info.txt. В обоих сообщениях подчёркивается, что единственный способ восстановить доступ — связаться со злоумышленниками и заплатить выкуп в биткоинах. Всплывающее сообщение пытается завоевать доверие, предлагая ограниченный бесплатный тест расшифровки, а также угрожает необратимым ущербом, если жертва изменит файлы или попытается самостоятельно восстановить данные.

Как Zeo работает изнутри

Как и другие варианты Dharma, Zeo фокусируется на шифровании данных, хранящихся как локально, так и в сетевых хранилищах. Стабильность системы сохраняется, поскольку Zeo не допускает вмешательства в критически важные компоненты операционной системы. Чтобы предотвратить ошибки во время шифрования, он завершает процессы, связанные с открытыми в данный момент файлами, например, процессы баз данных и просмотрщиков документов.

Вирус-вымогатель использует ряд поведенческих защитных механизмов. Он проверяет собранные данные геолокации, чтобы определить, следует ли проводить атаки, потенциально избегая регионов, которые могут быть нерентабельными или политически чувствительными. Он также включает механизм, предназначенный для предотвращения двойного шифрования, хотя логика исключения неполна и не охватывает все семейства вирусов-вымогателей.

Сохранение данных достигается двумя основными способами: копированием в каталог %LOCALAPPDATA% и регистрацией записей автозапуска в определённых разделах «Выполнить». Zeo также стирает теневые копии томов, чтобы удалить встроенные функции восстановления, на которые пользователи могли бы полагаться.

Векторы инфекции и тактика распространения

Угрозы, основанные на Dharma, часто проникают в системы через уязвимые или плохо защищенные службы протокола удаленного рабочего стола. Злоумышленники используют атаки методом подбора паролей и перебора по словарю для получения доступа, а межсетевые экраны скомпрометированных систем могут быть ослаблены или отключены вскоре после вторжения.

Другие пути распространения остаются преобладающими. Злоумышленники часто используют обманные электронные письма, вредоносные вложения, взломанные загрузки, мошеннические обновления, крэки и пиратский контент. Опасные полезные данные представлены в различных форматах, включая архивы, исполняемые файлы, документы, файлы JavaScript и многое другое. В некоторых случаях вредоносное ПО распространяется горизонтально на другие устройства в той же сети или через портативные носители.

Почему уплата выкупа — небезопасное решение

Жертвы редко располагают техническими средствами для расшифровки файлов, пострадавших от современных программ-вымогателей. Если вредоносная программа не содержит критических уязвимостей, необходимые ключи есть только у её операторов. Однако уплата выкупа не гарантирует, что злоумышленники предоставят работающий дешифратор, и жертвы часто теряют как деньги, так и данные. Финансирование таких операций также способствует дальнейшей преступной деятельности.

Удаление программы-вымогателя необходимо для предотвращения дальнейшего ущерба, но удаление Zeo не восстанавливает зашифрованные файлы. Восстановление возможно только с помощью чистых резервных копий, хранящихся в отдельных местах, например, на автономных устройствах или защищенных удаленных серверах.

Усиление безопасности устройств

Многоуровневый подход радикально снижает риск атак программ-вымогателей. Следующие методы помогают повысить долгосрочную устойчивость:

Основные профилактические меры

Поддерживайте строгий контроль над доступом по протоколу удаленного рабочего стола, используя надежные уникальные учетные данные, отключая внешний доступ при необходимости и применяя ограничение скорости или многофакторную аутентификацию.

Своевременно применяйте обновления безопасности для операционной системы, установленного программного обеспечения и сетевых компонентов.

Дополнительные рекомендации передовой практики

Сохраняйте надежные резервные копии с контролем версий в нескольких изолированных местах, включая автономные или неизменяемые хранилища.

• Используйте надежные инструменты безопасности для отслеживания подозрительной активности и блокирования вредоносных программ перед выполнением.
• Относитесь скептически к нежелательным письмам, вложениям и предложениям по загрузке, особенно к тем, которые выдают себя за законные организации или предлагают бесплатное программное обеспечение.
• Избегайте пиратского программного обеспечения, ненадежных порталов загрузки и сомнительной рекламы в браузере.
• По возможности ограничьте административные привилегии и убедитесь, что повседневные задачи выполняются с использованием учетных записей, не имеющих прав администратора.

Благодаря сочетанию строгой системной гигиены с надежным контролем доступа и регулярно поддерживаемым резервным копированием пользователи значительно снижают свою подверженность таким угрозам, как Zeo Ransomware, и лучше подготовлены к быстрому восстановлению в случае атаки.