Вымогатель SynAck — злой двойник

Новая версия вымогателя SynAck использует изощренные техники маскировки.

Вредоносные программы постоянно эволюционируют, и, чтобы спрятать их от антивирусов, злоумышленники используют самые разные техники. Иногда эта эволюция движется стремительными темпами. Так, программа-вымогатель SynAck, известная с сентября 2017 года (тогда это был обычный зловред, не отличавшийся особыми умом и сообразительностью), недавно прошла серьезную модернизацию. Теперь она научилась избегать обнаружения с невероятной эффективностью и использует новую технику маскировки процессов — клонирование.

Создатели вредоносного ПО часто обфусцируют код — делают его нечитаемым, чтобы антивирусы не могли распознать зловреда. Обычно для этого используют специальные программы-упаковщики. Однако разработчики защитного ПО тоже не лыком шиты, так что почти все антивирусы быстро научились без особых проблем распаковывать все обратно и отлавливать вредоносные программы. Создатели SynAck прибегли к другому способу, который требует куда больше усилий как от них самих, так и от разработчиков защитных решений: вредоносный код обфусцируется до компиляции, что значительно усложняет его обнаружение.

И это не единственная техника, которую использует новая версия SynAck. Злоумышленники также применили достаточно сложный метод клонирования процессов, известный как Process Doppelgänging. В сущности, Synack – первый обнаруженный вымогатель, который использует этот способ маскировки. В целом же о Process Doppelgänging широкой общественности стало известно после доклада исследователей на конференции Black Hat 2017. После этого метод подхватили киберпреступники и начали использовать его в некоторых зловредах.

Process Doppelgänging работает за счет некоторых особенностей файловой системы NTFS и устаревшего загрузчика процессов Windows, который есть во всех версиях этой ОС, начиная с Windows XP. С использованием всего этого злоумышленники могут создавать бесфайловые зловреды, которые маскируют вредоносные действия под обычные процессы. Технически этот метод довольно сложен. Подробнее о нем вы можете прочитать в отдельной статье на сайте Securelist.

SynAck отличается и еще двумя особенностями. Во-первых, он проверяет, установился ли зловред в правильную папку на компьютере. Если папка не та, то вымогатель просто не запускается. Это сделано, чтобы его нельзя было обнаружить с помощью автоматических «песочниц». Во-вторых, SynAck также проверяет, как настроена клавиатура. Если она соответствует определенным параметрам (в данном случае — поддерживает кириллический шрифт), то зловред опять же ничего не делает. Это распространенная техника, которая позволяет нацелить атаку на определенные регионы.

С точки зрения обычного пользователя, которому безразличны все ужимки и прыжки зловреда, SynAck — это просто еще один вымогатель, разве что довольно жадный: в качестве выкупа он просит аж 3 000 долларов США. Перед тем как зашифровать данные, SynAck норовит отключить некоторые процессы, которые могут блокировать ему доступ к важным данным, не давая их зашифровать. Файлы, с которыми работает система, изменить невозможно, поэтому Synack и пытается заставить систему их не трогать.

Требование выкупа, включая инструкции по связи со злоумышленником, появляются на экране загрузки. К сожалению, у SynAck надежный алгоритм шифрования, и он использует его с умом. Исследователям пока не удалось найти в его реализации никаких просчетов, поэтому вернуть к жизни зашифрованные файлы на данный момент невозможно без уплаты выкупа.

Согласно нашим наблюдениям, SynAck распространяется в основном с помощью брутфорса по протоколу удаленных рабочих столов (RDP) — а значит, он охотится в первую очередь на бизнес-пользователей. Гипотезу о целевой природе атак подтверждает и то, что пока было отмечено лишь небольшое количество попыток заражения, и только в США, Кувейте и Иране.

Даже если вы не столкнетесь с SynAck, само его существование говорит о том, что трояны-шифровальщики эволюционируют, становясь все опаснее и опаснее, — а защищаться от них, соответственно, все сложнее. Утилиты-декрипторы будут появляться все реже, поскольку злоумышленники учатся избегать ошибок, которые позволяли исследователям делать программы для расшифровки. И хотя шифровальщики сегодня постепенно сдают позиции скрытым майнерам (как мы и предсказывали), атаки такого рода по-прежнему остаются распространенной глобальной угрозой, от которой должен защитить себя любой предусмотрительный интернет-пользователь.

Вот несколько советов, как избежать заражения или свести к минимуму его последствия.

• Регулярно создавайте резервные копии данных. Храните резервные копии на отдельных носителях, не подключенных постоянно к вашей локальной сети или Интернету.
• Если вы не используете для работы удаленный рабочий стол Windows, отключите его.
• Установите надежное защитное решение со встроенным сетевым экраном и специальными компонентами для защиты от программ-вымогателей, например Kaspersky Small Office Security для малого бизнеса или Kaspersky Endpoint Security для более крупных компаний. Продукты «Лаборатории Касперского» обнаруживают SynAck, несмотря на все его фокусы с маскировкой.
• Если у вас уже есть другой антивирус, вы можете установить Kaspersky Anti-Ransomware Tool — бесплатное средство для защиты от программ-вымогателей, совместимое с решениями других поставщиков.

08.05.2018