Эксперты компании McAfee предупредили о новом зловредном семействе, объединяющем в себе целый комплекс угроз. В настоящий момент троян Anatova представляет собой продвинутый шифровальщик, однако модульная архитектура ПО позволяет ему в любой момент обновить набор функций.

Исследователи обнаружили Anatova в одной из торрент-сетей, где вредонос маскировался под игры и приложения. По их словам, троян появился только 1 января 2019 года. За неполный месяц он успел поразить множество пользователей в США, Бельгии, Великобритании, Германии, Франции и нескольких других странах.

По словам экспертов, авторы зловреда явно не новички в своем деле. Об этом говорит сильное шифрование кода, использование уникальных ключей для каждого отдельного образца Anatova. При весе всего в 32 КБ троян умеет обнаруживать виртуальное окружение, удалять теневые копии томов, добираться до сетевых хранилищ. Кроме того, вредонос шифрует только файлы объемом до 1 МБ — это экономит ему время и ресурсы.

Оказавшись на компьютере, вымогатель запрашивает права администратора, после чего запускает несколько проверок. Разработчики составили список с именами учетных записей, использующихся по умолчанию на виртуальных машинах. Если Anatova обнаруживает такую учетную запись, он завершает работу.

После проверки имени зловред уточняет используемый на компьютере язык, причем он проверяет первый выбор пользователя при установке ОС. Троян не атакует жертв в странах СНГ, Египте, Индии, Ираке, Марокко и Сирии. Тот факт, что Anatova запрашивает именно системный язык, лишает пользователей возможности обмануть зловред, установив пакет из этого черного списка.

Перед тем как перейти к своей основной задаче, троян проверяет настройку, которая отвечает за загрузку библиотек extra1.dll и extra2.dll. По словам исследователей, это и есть дополнительные модули, которые могут расширить вредоносный потенциал Anatova.

Во всех изученных образцах эта настройка имела значение «0», поэтому сейчас невозможно точно сказать, какие функции могут появиться у вредоноса в будущем. Эксперты предполагают, что таким образом злоумышленники готовят себе запасной план — если жертва откажется платить выкуп, они смогут предложить ее конфиденциальные данные на черном рынке или заложить бэкдор и продать доступ к зараженной машине.

При шифровании Anatova избегает системных директорий и не трогает критически важные файлы. В отличие от других вымогателей, он оставляет требование выкупа только в тех папках, где находит пригодные для блокировки данные. За расшифровку преступники просят 10 DASH (около 47 тыс. рублей по курсу на день публикации).

По окончании работы вредонос запускает утилиту vssadmin, которая удаляет теневые копии томов, лишая жертву возможности восстановить данные. Именно для этого Anatova изначально просит права администратора — обычные пользователи не могут провести эту операцию. Чтобы гарантированно уничтожить все резервные копии, зловред выполняет команду 10 раз подряд.

Эксперты заключают, что новый шифровальщик представляет собой следующую ступень в развитии этого типа угроз. Об этом говорит его гибкая архитектура и эффективный подход ко всем предусмотренным функциям. Полностью оценить потенциал Anatova специалисты смогут, когда станет понятно предназначение его дополнительных модулей.

Ранее специалисты предупредили, что шифровальщики остаются актуальными, несмотря на отсутствие в последнее время громких эпидемий наподобие WannaCry. Сегодня преступники отказываются от массовых кампаний в пользу таргетированных атак, что повышает их угрозу для крупных корпоративных инфраструктур.

Категории: Аналитика, Вредоносные программы, Главное