Вымогатель SynAck получил обновление, которое позволяет ему избегать антивирусных программ с помощью продвинутых методик маскировки. Вредонос атакует компьютеры через протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) и требует с жертв выкуп в размере 3000 долларов.

Эксперты «Лаборатории Касперского», которые обнаружили новинку, пришли к выводу, что она применяется для целевых атак. Об этом говорит ограниченный масштаб заражений — на данный момент отмечено всего несколько атак в США, Кувейте и Ираке.

Создатели вымогателя также запретили ему атаковать компьютеры с раскладками клавиатуры, которые распространены в СНГ, в основном кириллические. По словам экспертов «Лаборатории Касперского», это сделано для более точного таргетирования.

Зловред пополнил арсенал значительным количеством продвинутых технологий, которые выделяют его на фоне других вымогателей. Так, SynAck стал первой подобной программой, использующей метод клонирования процессов (Process Doppelgänging).

Профессиональное сообщество познакомилось с этой технологией полгода назад на конференции Black Hat 2017. Она позволяет избежать обнаружения с применением бесфайловых вредоносов, которые маскируются под рядовые процессы.

Клонирование процессов требует от злоумышленников серьезной технической подготовки, что косвенно подтверждает версию о целевом характере атак SynAck. Менее подкованные преступники обычно стремятся получить максимум прибыли при минимуме усилий.

Обновленный SynAck обфусцирует код до компиляции, что также сокращает шансы на его обнаружение. Кроме того, зловред умеет обходить песочницы антивирусов — перед запуском он проверяет, в какой папке находится, и не активизируется, если она оказывается неверной.

Перед тем как начать шифрование, SynAck сканирует все активные процессы и службы, а затем сверяет значения их хэшей с двумя списками, в которые входит ряд программ для офиса и работы с базами данных, игровые сервисы и другие. Обнаружив совпадение, вымогатель останавливает эти приложения, чтобы они не обращались к целевым файлам и не препятствовали их изменению.

На данный момент ИБ-специалисты не смогли подобрать ключ для расшифровки данных. Жертвам атаки рекомендуется заархивировать пораженные файлы и дожидаться появления декриптора.

Категории: Вредоносные программы