CHKLST.RU

Шифровирусы шумной толпою...

124»

Комментарии

  • Специалисты компании Sophos сообщили о всплеске атак вымогателя MegaCortex — вредоносной программы, ранее замеченной лишь в единичных нападениях. Злоумышленники нацелены на корпоративный сектор и пытаются получить доступ к контроллеру домена организации, чтобы доставить шифровальщик на максимальное количество рабочих станций.

    Первые сообщения о MegaCortex датируются январем этого года, однако до последнего времени экспертами Sophos зафиксировано лишь 29 подтвержденных атак вымогателя. Между тем в первые дни мая стало известно о как минимум новых 47 попытках установки зловреда. Аналитики отмечают, что в каждом случае речь идет о проникновении в корпоративную сеть.

    Попав на целевое устройство, зловред запускает PowerShell-скрипт, который разворачивает многофункциональную оболочку Meterpreter в сети жертвы. При помощи этого инструмента злоумышленники получают доступ к контроллеру домена компании и доставляют полезную нагрузку на подключенные к нему машины. В компьютеры внедряется исполняемый файл и пакетный сценарий, отвечающий за выгрузку из памяти сотен процессов. Киберпреступники отключают системы безопасности, антивирусные сканеры и другие службы, которые могут помешать шифрованию данных.

    В завершение на устройство доставляется файл winnit.exe, который отвечает за загрузку DLL-библиотеки со случайным именем из восьми символов. Она шифрует пользовательскую информацию и размещает в корневом каталоге записку с требованием выкупа. Послание стилизовано под обращение Морфеуса — одного из героев фильма «Матрица».

    https://threatpost.ru/megacortex-ransomware-attacks-enterprise-networks/32552/
  • отредактировано 1 Jun PM
    Как стало известно ZDNet, создатели Ransomware GandCrab объявили вчера, что они закрывают свой сервис Ransomware-as-a-Service (RaaS).

    GandCrab RaaS - это онлайн-портал, на котором мошенники регистрируются и платят, чтобы получить доступ к пользовательским сборкам вымогателей GandCrab, которые они позже распространяют через спам по электронной почте, наборы эксплойтов или другими способами.

    Когда зараженный пользователь платит выкуп, первоначальный автор GandCrab зарабатывает небольшую комиссию, а остальная часть денег уходит на мошенника, который распространял вымогателей.

    В планах удалить ключи дешифрования

    В теме форума оставлено сообщение для жертв GandCrab, в котором операторы GandCrab RaaS заявили, что планируют удалить все ключи дешифрования, что делает невозможным восстановление файлов для зараженных жертв.

    Некоторые из исследователей безопасности, к которым мы обратились, сказали ZDNet, что это может быть уловкой, чтобы заставить паниковать жертв и платить требование выкупа. Однако они изменили свои взгляды, когда узнали, что клиентам GandCrab RaaS также было приказано свернуть операции.

    В прошлом, когда операции вымогателей прекращались, они, как правило, бесплатно выпускали все ключи расшифровки жертвы, чтобы пользователи могли восстановить свои данные. Нечто подобное произошло с жертвами семей-вымогателей, таких как TeslaCrypt, XData, Crysis и FilesLocker.

    За последний год семейство вымогателей GandCrab стало одной из самых активных угроз для вымогателей. Это был один из немногих штаммов вымогателей, которые распространялись в массовом порядке через спам и наборы эксплойтов по электронной почте, но также как часть целенаправленных атак против высокопоставленных организаций одновременно.

    Программа-вымогатель часто обновлялась и в настоящее время имеет версию 5.2 во время сегодняшнего выключения.

    За последний год фирма Bitdefender, специализирующаяся в области кибербезопасности, трижды выпускала расшифровщики GandCrab. Это приложения, которые позволяют жертвам восстанавливать зашифрованные файлы без уплаты выкупа. Последний был выпущен в феврале этого года и мог расшифровать версии GandCrab до версии 5.1 (за исключением версий v2 и v3)

    https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-down/

    +
  • отредактировано 2 Jun PM
    Спустя почти полтора года операторы GandCrab Ransomware прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

    Заполняя "свободное место" ("денежное место пустым не бывает"), оставшееся после прекращения крупномасштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

    С тех пор они стали одним из доминирующих, если не самым доминирующим, участником операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

    По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

    На изображениях, предоставленных BleepingComputer Дамианом, мы видим, что операторы заявляют, что они получили более 2 миллиардов долларов в качестве выкупа при средней еженедельной выплате в 2,5 миллиона долларов. Далее они говорят, что лично заработали 150 миллионов долларов, которые они обналичили и инвестировали в легальные бизнес-структуры.

    gandcrab-message.jpg

    В своем объявлении GandCrab заявил, что прекращает продвижение вымогателей, попросил филиалы прекратить распространение вымогателей в течение 20 дней и просит удалить их тему в конце месяца.

    https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/

    BleepinComputer:
    While they state that they are deleting their keys, we hope they will follow other large-scale ransomware operations like TeslaCrypt and Crysis and release the master keys when they shutdown. BleepingComputer has contacted them to ask them to do this. Come on Crab 🦀🦀🦀!

    Хотя они заявляют, что удалят все свои ключи, мы надеемся, что они поступят так же как TeslaCrypt и Crysis и опубликуют мастер ключи, после завершения работы. BleepingComputer связался с ними, чтобы попросить их сделать это.
  • отредактировано 1 Aug PM
    +
    JakubKroustek:
    '.BSC' - '[email protected]' - https://www.virustotal.com/gui/file/2e0490c69212fb4ad20cd342bc8d257450f7602930700dc582196032d572f34d/ … #CrySiS #Dharma #ransomware

    замечен на российских форумах:
    +
    demonslay335:
    #Dharma #Ransomware spotted with extension ".kjh" on ID Ransomware
    +
    JakubKroustek:
    '.html' 🤦‍♂️ - '[email protected]' - https://www.virustotal.com/gui/file/4e1729be38023e15056914fab40c9ff3e04990c998c5c97­11b4376acb919fdae/ … #CrySiS #Dharma #ransomware
    +
    '.HACK' - '[email protected]' - https://www.virustotal.com/gui/file/5d4e9a73323a109fb00d56ac8ab28cbfa056616d502d0bf985a56855ef28bfb5/ … #CrySiS #Dharma #ransomware
    *.hack уже есть на российских форумах:
    https://virusinfo.info/showthread.php?t=223030
    +
    #Dharma #Ransomware spotted with extension ".0day" (🤦‍♂️) on ID Ransomware
    *.0day уже есть на российских форумах
    https://forum.kasperskyclub.ru/index.php?showtopic=63078
    +
    #Dharma #Ransomware spotted on ID Ransomware with extension ".hccapx"
    +
    #Dharma #Ransomware spotted with extension ".cap" on ID Ransomware
    +
    '.xxxx' - '[email protected]' - https://www.virustotal.com/gui/file/c6517e4d2a9c5bbb6ea64b0de2135d89815433a987132eed2f65d8bd917becda/ … #CrySiS #Dharma #ransomware
    +
    #Dharma #Ransomware spotted on ID Ransomware with extension ".crash"
    +
    JakubKroustek:
    '.php' + '.dqb' - '[email protected]' + '[email protected]' - (link: https://www.virustotal.com/gui/file/ac4a4747011aa436dda454c1cc59e5002d63847bdb67836589cd756f09c39f79/) virustotal.com/gui/file/ac4a4… + (link: https://www.virustotal.com/gui/file/fd3a4710e21b89324240728ee99cba2c71b54cfb03d4fc742b47de068e45f608/) virustotal.com/gui/file/fd3a4… #CrySiS #Dharma #ransomware
    +
    virusinfo.info:
    *.[[email protected]].save
    https://app.any.run/tasks/8d6aa39b-73a2-413b-9c37-e6c0c9771431
    https://www.hybrid-analysis.com/sample/3f0a06a63a39b5585ce8e2afe584a2680e71b93de7a835d51e05d776a15e9c60/5d233950028838148448cae7
    desktop.ini.id-EC2CAE93.[[email protected]].save
    O4 - HKLM\..\Run: [C:\Users\admin\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\admin\AppData\Roaming\Info.hta"

    (link: https://virusinfo.info/showthread.php?t=223167) virusinfo.info/showthread.php…
    +
    #Dharma #Ransomware w/ extension ".KICK", email "[email protected]" spotted on ID Ransomware
    +
    Jakub Kroustek:
    '.1BTC' - '[email protected]' - (link: https://www.virustotal.com/gui/file/cac6e9235a45bf266bd38b35fb0ff1072b6cf6b9e6fdfe94eb956bbf5d912590/) virustotal.com/gui/file/cac6e… #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.com2' - '[email protected]' - (link: https://www.virustotal.com/gui/file/965315221716fa0b80f2cf88873b7d1f7e5b368a0ac01f52d2ade330328d04fe/) virustotal.com/gui/file/96531… #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.Acuf2' - '[email protected]' - (link: https://www.virustotal.com/gui/file/5b420065bcd0653fb053045398dd6477ab8b6df270245c5d5d4590c2af30f329/) virustotal.com/gui/file/5b420… #CrySiS #Dharma #ransomware
    на российских форумах:
    https://forum.kasperskyclub.ru/index.php?showtopic=63398
    +
    Jakub Kroustek:
    '.nqix' - '[email protected]' - (link: https://www.virustotal.com/gui/file/a847fe149f3ff49b9234975c2e52176176e5aced6ebe1bc0b9db444fa14c55dd/) virustotal.com/gui/file/a847f… #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix

  • отредактировано 6 Jul PM
    #Cryakl#Ransomware имеет новое расширение ".cs16" - например, "[email protected] 1.6.id-.fname-NEWS.RTF.cs16"
  • отредактировано 31 Oct PM
    +
    Jakub Kroustek
    '.Q1G' - '[email protected]' - (link: https://www.virustotal.com/gui/file/44586a87f4307beaf584b7b2639e9120e90cd7ad226d47ba171ccb8967285102/) virustotal.com/gui/file/44586… #CrySiS #Dharma #ransomware
    +
    JakubKroustek
    '.pdf' 🤦‍♂️ - '[email protected]' - https://virustotal.com/gui/file/77122136a32a1950ca53a723ad5b6b7f895a6077ef4b7aa727c16997421b16ba/
    #CrySiS #Dharma #ransomware
    +
    JakubKroustek:
    '.cmd' 🤦‍♂️ - '[email protected]' - https://virustotal.com/gui/file/b39b8bc226a16cadf7e269f154d3578b2378c88a9db652061be4d1e4115eb9f6/ #CrySiS #Dharma #ransomware
    +
    JakubKroustek:
    '.MGS' - '[email protected]' - https://virustotal.com/gui/file/54a6cde2a40da13331d3d5715878155697c5f5d794a457684443b276cef9fc18/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.RSA' - '[email protected]' - https://virustotal.com/gui/file/6bf30d7000369173f28b38f111a3e4294e69052ae844897c348d6754db2b96ef/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.ebola' - '[email protected]' - https://virustotal.com/gui/file/6531224b249f1aa18577ad2f31c5ccec0d51941de3dd7cc6df1f8ff03bf2b6c1/ #CrySiS #Dharma #ransomware
    на российских форумах уже есть пострадавшие от данного варианта шифратора.
    https://virusinfo.info/showthread.php?t=223596
    https://app.any.run/tasks/529afed8-780e-4693-9df2-479f8b598602
    +
    Jakub Kroustek:
    '.money' - '[email protected]' - https://virustotal.com/gui/file/951294b8e0a4fbfd638cf9e38794527449229e0a754014bda7a8bd3c4b1b5d63/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.VIVAL' - '[email protected]' - https://virustotal.com/gui/file/5cae1527311e2d76114f6556741c37e9f4c57f06439a43abc6b20d363b3aa80b/ #CrySiS #Dharma #ransomware
    thyrex:
    .UTC [email protected]
    https://forum.kasperskyclub.ru/index.php?showtopic=63802
    #CrySiS #Dharma #ransomware

    thyrex/Jakub Kroustek:
    ".CASH" - "[email protected]"
    https://virustotal.com/gui/file/1cc40068f4b1cdefb3972a9cf1e098ab9657022ed66d90c015329b8e38c5e480/ #CrySiS #Dharma #ransomware
    на российских форумах есть пострадавшие от данного варианта:
    https://forum.kasperskyclub.ru/index.php?showtopic=63822
    +
    Jakub Kroustek:
    '.KRAB' - '[email protected]' - https://virustotal.com/gui/file/0fa6d75bd7ca77559097623aca2cc19ebb7d144d67b3e7d2e5652577954f15e2/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.oo7' - '[email protected]' - https://virustotal.com/gui/file/55ce1bdbbe9404d8c2518b1e44fdb2eee2da43c00911f66d6bbd18e941207831/ #CrySiS #Dharma #ransomware
    +
    raby_mr:
    Extensions: id-XXXXXX.[[email protected]].uta
    Vt:https://virustotal.com/gui/file/6a9c530c5700c2e5ae73b7c5959d04d9d8f2d9a9c5432e7dccd3ef8f13ac1ed9/detection
    Sample:https://app.any.run/tasks/9eb22017-fb30-4efd-a612-c097a6629bd5/
    #Dharma #Ransomware
    +
    Jakub Kroustek:
    '.bot' - '[email protected]' - https://virustotal.com/gui/file/35b611b8907719f724b0a51d451747931f7af25538701027a672ffe9c8c2e50d/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.wiki' - '[email protected]' - https://virustotal.com/gui/file/598bb407798b538f375db298cf11f0fe708851d873ef543c60bcb75fb990eca2/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.PBD' - '[email protected]' - https://virustotal.com/gui/file/3411acc4f44bed33ace32ce9691f7daf1130673cc48717da18a132c090ebecc0/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.one' - '[email protected]' - https://virustotal.com/gui/file/487a1543677dfdaa1c2707b9b0b5609703534200b24d361740c2e1f2e5feaddb/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.xda' - '[email protected]' - https://virustotal.com/gui/file/31409b7ba068040936cf1aa0e3571110c986d4f06b5bceea18032cf1d203f7a5/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.start' - '[email protected]' - https://virustotal.com/gui/file/d1609699ddfcc905ad6e88df90c0f3f87b34ee9ebd27a01d7eea58a95645565c/
    #CrySiS #Dharma #ransomware
    +
    '.asus' - '[email protected]' - https://virustotal.com/gui/file/a3e9b258b67f106c268405877b3b34439a9d407d040d23166e7a847ad32a5561/ #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus

  • отредактировано 13 Nov PM
    +
    Jakub Kroustek:
    '.VIRUS' - '[email protected]' - https://virustotal.com/gui/file/bbb4d93f9c79e555d6f6ef77fd3696a53c8fb84227401d568eab55cf6bbf81ea/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.rsa' - '[email protected]' - https://virustotal.com/gui/file/3a26e4f27282f65126757df72dbb3bbf8e7c0c811a60e356a16d4db485459791/ #CrySiS #Dharma #ransomware
    +
    '.kr' - '[email protected]' - https://virustotal.com/gui/file/8edf3b965617286ea70601965eb69244960f63ccb464fa2baa5afffb6f59a7d1/ #CrySiS #Dharma #ransomware
    +
    '.ninja' - '[email protected]' - https://virustotal.com/gui/file/a3fbf4f7e4f3da447e4bbc773110c123021b9d149d510b220ad37cec77416c4a/ #CrySiS #Dharma #ransomware
    +
    GrujaRS:
    #Dharma #Ransomware extension .id-.[[email protected]].nvram!
    Ransom note;FILES ENCRYPTED.txt sample VT https://www.virustotal.com/gui/file/a05821afed3f5930cb98c8e5ab51172b421f9ef9eb848b010601d017ca753c6a/detection

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram
  • отредактировано 6 Nov PM
    A new version of the MegaCortex Ransomware has been discovered that not only encrypts your files, but now changes the logged in user's password and threatens to publish the victim's files if they do not pay the ransom.

    For those not familiar with MegaCortex, it is a targeted ransomware installed through network access provided by trojans such as Emotet. Once the MegaCortex actors gain access, they then push the ransomware out to machines on the network via an active directory controller or post-exploitation kits.

    Обнаружена новая версия MegaCortex Ransomware, которая не только шифрует ваши файлы, но и изменяет пароль пользователя, вошедшего в систему, и угрожает опубликовать файлы жертвы, если они не заплатят выкуп.

    Для тех, кто не знаком с MegaCortex, это целевая программа-вымогатель, устанавливаемая через сетевой доступ, предоставляемый троянами, такими как Emotet. Как только субъекты MegaCortex получают доступ, они затем распространяют вымогателей на компьютеры в сети с помощью активного контроллера домена или через комплект эксплойтов.

    MegaCortex теперь настроит официальное уведомление на зашифрованном компьютере так, чтобы оно отображало основное выкупное сообщение «Locked by MegaCortex» с контактами электронной почты, прежде чем пользователь даже войдет в систему.

    MegaCortex меняет пароль жертвы в Windows


    Разработчики вымогателей нередко делают угрозы, которые не осуществляются, чтобы напугать жертв до уплаты.

    в записке с требованием о выкупе указано, что учетные данные жертвы были изменены,

    «Все ваши учетные данные были изменены, а ваши файлы зашифрованы».

    После тестирования вымогателей и перезагрузки зашифрованного компьютера обнаружено что нет возможности войти в свою учетную запись.

    Дальнейший анализ кода Kremez подтвердил, что MegaCortex действительно меняет пароль для учетной записи Windows жертвы.

    https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-changes-windows-passwords-threatens-to-publish-data/
  • thyrex:
    New #Cryakl #Ransomware now adds to filename [CS 1.7.0.1][[email protected]].xxx, xxx - random extension
  • отредактировано 15 Nov PM
    Как атакуют шифраторы? Что защитники должны знать о наиболее распространенных и постоянных семействах вредоносных программ? Поведение вымогателей - это его ахиллесова пята, поэтому Sophos тратит так много времени на его изучение. В этом отчете мы собрали некоторые из поведенческих моделей десяти наиболее распространенных, разрушительных и постоянных вымогателей. Наша цель состоит в том, чтобы дать операторам безопасности руководство по пониманию основных моделей поведения....

    9yobnhkaqjwa.jpg


    Code signing/Подписание кода
    Злоумышленники могут попытаться свести к минимуму обнаружение, подписав свое вымогатель с законным сертификатом аутентификации, что может помочь вымогателю избежать обнаружения неподписанного кода некоторыми инструментами безопасности программного обеспечения. Однако этот подход сопряжен с некоторыми рисками. Чтобы приобрести сертификат для подписи кода Authenticode, вам необходимо купить (или украсть) сертификат, а также предоставить платежную и контактную информацию. Это означает, что обнаружение может привести не только к отзыву сертификата (и все вредоносные программы, подписанные с ним, должны быть помещены в карантин), но, возможно, к идентификации злоумышленников за вымогателями.
    Privilege escalation/Повышение привилегий
    Ограничение прав доступа к данным является основной практикой безопасности, но, к сожалению, все более и более неэффективной. Существует ряд эксплойтов, которые позволяют злоумышленникам повышать привилегии и злоупотреблять похищенными учетными данными администратора независимо от прав доступа скомпрометированного пользователя.

    Примеры включают в себя печально известный эксплойт EternalBlue, используемый WannaCry, а также эксплойт для запроса контроля доступа пользователей (UAC), который позволяет запускать любые вымогатели с повышенными привилегиями. Есть и такие, которые позволяют злоумышленникам запускать произвольный код в режиме ядра и, как следствие, устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя - независимо от привилегий вошедшего в систему пользователя.

    Lateral movement/Боковое движение
    После того, как сервер или конечная точка скомпрометированы, злоумышленники могут отключить программное обеспечение безопасности, установить средство удаленного доступа (RAT) для обеспечения гибкости и устойчивости и перейти к поиску файлов данных и серверов резервного копирования. Они могут контролировать сервер через протокол удаленного рабочего стола (RDP) и уничтожать резервные копии данных с помощью шифрования с выкупом или простого удаления, чтобы гарантировать, что жертва не сможет восстановиться. Наконец, они могут распространять вымогателей на одноранговые конечные точки и файловые серверы.

    Для этого они могут использовать надежную утилиту двойного назначения, создав сценарий, который копирует и запускает вымогателей на компьютеры. Обычно на это уходит меньше часа, и обычно это происходит ночью, когда ИТ-команда дома спит. К тому времени, когда жертва замечает, что происходит, уже слишком поздно.

    Злоумышленники также используют похищенные учетные данные или используют уязвимости в решениях удаленного мониторинга и управления (RMM), обычно используемых провайдерами управляемых услуг (MSP) для управления ИТ-инфраструктурой и / или системами конечных пользователей.

    Network first/Сеть первая
    Чтобы жертвы заплатили, вымогатель постарается зашифровать как можно больше документов, как можно быстрее, а затем усложнить, если не невозможно, восстановление более ранних или дублированных версий.

    Документы часто хранятся на локальных фиксированных и съемных дисках, а также на подключенных удаленных общих дисках. Программа-вымогатель может сначала расставить приоритеты для определенных дисков или форматов документов, чтобы обеспечить успех, прежде чем они будут обнаружены программным обеспечением для защиты конечных точек или замечены жертвами. Например, программа-вымогатель может быть запрограммирована на одновременное шифрование нескольких документов через несколько потоков, установление приоритетов для документов меньшего размера или даже запуск с атаки на документы на подключенных удаленных общих дисках.

    Важно отметить, что сами файловые серверы часто не заражены вымогателями. Угроза обычно запускается на одной или нескольких скомпрометированных конечных точках, используя учетную запись привилегированного пользователя с правами администратора для удаленной атаки на документы. Таким образом, даже если файловый сервер защищен антивирусным программным обеспечением, сама угроза фактически не работает на сервере.

    Multi-threaded/Многопоточная
    Компьютеры теперь имеют один или несколько многоядерных центральных процессоров (ЦП) с технологиями одновременной многопоточности (SMT) или Hyper-Threading (HT). Такие достижения в микропроцессорном оборудовании предлагают огромные преимущества в производительности для повседневных деловых операций, поскольку они позволяют параллельное выполнение и лучшее использование системы для повышения производительности. Некоторые вымогатели, разработанные для эффективного использования современного аппаратного обеспечения ЦП, используют эту функцию (если имеется) для распараллеливания отдельных задач. Это помогает обеспечить более быстрое (и более сильное) воздействие, прежде чем жертвы обнаружат, что они подвергаются атаке.

    File encryption and renaming/Шифрование и переименование файлов
    В зависимости от того, как он шифрует документы, вымогателей можно разделить на две группы: перезаписать и копировать.

    Перезаписать (на месте)

    Зашифрованный документ хранится на тех же секторах диска, что и исходный документ. шаги:

    1. Прочитать оригинал документа; открыт для чтения / записи
    2. Записать зашифрованную версию поверх оригинального документа
    3. Переименовать документ

    Копировать

    Зашифрованный документ хранится на свободных доступных секторах диска. шаги:

    1. Прочитать оригинал документа; открыт только для чтения
    2. Написать (создать) зашифрованную копию (с другим именем файла или расширением файла)
    3. Удалить оригинальный документ

    Encryption by proxy/Шифрование через доверенное приложение или процесс
    Некоторые вымогатели, такие как GandCrab и Sodinokibi, используют Windows PowerShell для извлечения скрипта PowerShell из Интернета, который настроен на автоматический запуск вымогателей через несколько дней, в результате чего атака кажется возникшей из ниоткуда. В этом сценарии сама атака с использованием шифрования файлов выполняется доверенным процессом Windows POWERSHELL.EXE, заставляя программное обеспечение безопасности думать, что доверяемое приложение изменяет документы. Другие вымогатели, такие как Ryuk и MegaCortex, используют аналогичный подход для шифрования документов из доверенного процесса.

    Key blob/Блок ключей.
    Чтобы восстановить зашифрованные документы, Ransomware хранит ключ, который инструмент дешифрования с закрытым ключом может использовать для восстановления ущерба. Этот блок данных добавляется, добавляется или хранится в одном или нескольких отдельных файлах, в зависимости от семейства вымогателей.
    +++
  • отредактировано 15 Nov PM
    Обои.
    Для того, чтобы жертвы сразу же поняли, что произошло, и призвали их заплатить выкуп, некоторые вымогатели, такие как WannaCry и Sodinokibi, заменяют обои рабочего стола Windows сообщением, с которым сталкивается жертва.
    VSSADMIN.
    К сожалению, злоумышленники обычно удаляют теневые копии томов во время атаки с помощью утилиты Windows VSSADMIN.EXE. Эта утилита предоставляет интерфейс командной строки со службой теневого копирования томов и требует повышенных прав администратора. Злоумышленники обычно крадут или уже обладают привилегированными учетными данными или используют эксплойт для повышения привилегий. Альтернативный метод удаления теневых копий томов - через инструментарий управления Windows (WMI). Windows включает утилиту командной строки под названием WMIC.EXE для доступа к WMI, которая используется многими приложениями в качестве интерфейса сценариев. Простая блокировка или использование групповой политики для ограничения WMIC.EXE, скорее всего, нарушит некоторые повседневные задачи.

    Cipher
    Ransomware, такие как LockerGoga и MegaCortex, используют инструмент командной строки CIPHER.EXE от Microsoft®, чтобы убедиться, что жертвы вымогателей не могут восстановить удаленные документы со своих накопителей. Этот инструмент входит в состав Windows начиная с Windows 2000 и предназначен для управления законно зашифрованными данными с использованием шифрованной файловой системы (EFS). CIPHER.EXE также позволяет навсегда перезаписать (или «стереть») все удаленные данные на накопителе - это используется некоторыми вымогателями. Эта функция предназначена для повышения безопасности благодаря тому, что даже злоумышленник, получивший полный физический контроль над компьютером Windows, не сможет восстановить ранее удаленные данные. В руках злоумышленников, вымогателей, CIPHER.EXE добавляет еще большую проблему.
    BCDEdit
    Вместе с удалением резервных копий документов и других файлов, хранящихся в теневой службе томов Windows, вымогатели могут также попытаться помешать жертвам и Windows приступить к процедуре восстановления для восстановления компьютера. Для этого он использует команду Windows BCDEDIT.EXE, которая позволяет манипулировать данными конфигурации загрузки Windows (BCD). Такие вымогатели обычно устанавливают следующие параметры: 1. recoveryenabled No - отключить функцию диагностики и восстановления Windows, чтобы она больше не запускалась автоматически после третьей неудачной загрузки компьютера. bootstatuspolicy IgnoreAllFailures - игнорировать ошибки, если произошел сбой загрузки, неправильное завершение работы или ошибки контрольной точки. Компьютер попытается нормально загрузиться после возникновения ошибки
    технический отчет Sophos:
    https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf
Войдите или Зарегистрируйтесь чтобы комментировать.