Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Появившееся недавно одно из самых опасных семейств вымогательского ПО WastedLocker обязано своим успехом уникальному механизму обхода решений безопасности, в том числе инструментов для блокировки программ-вымогателей.
Вымогательское ПО WastedLocker появилось в мае нынешнего года и
Исследователи компании Sophos изучили WastedLocker и
Многие семейства вымогателей для обхода обнаружения используют обфускацию кода, но разработчики WastedLocker добавили к ней еще один уровень защиты – взаимодействие с функциями Windows API прямиком из памяти, куда инструментам для обнаружения вымогательского ПО, базирующимся на анализе поведения, не добраться. Для обхода этих инструментов WastedLocker шифрует файлы на атакованном компьютере с помощью ввода-вывода с отображением в память. Этот метод позволяет вымогателю прозрачно шифровать кэшированные документы в памяти, не вызывая дополнительных операций ввода-вывода на диск.
Когда заражение обнаружено, уже слишком поздно что-то предпринимать. Как правило, первым признаком атаки являются уже зашифрованные файлы и записка с требованием выкупа.
Если злоумышленникам удается получить учетные данные администратора, они могут подключиться к VPN или отключить инструменты безопасности. В отсутствие механизма двухфакторной аутентификации они легко могут авторизоваться в RDP, VPN и панелях администрирования.
Источник:
Вымогательское ПО WastedLocker появилось в мае нынешнего года и
You must be registered for see links
в арсенал известной киберпреступной группировки Evil Corp, также известной как Dridex. Именно оно использовалось в нашумевшей
You must be registered for see links
на компанию Garmin, предположительно
You must be registered for see links
Evil Corp $10 млн за инструмент для расшифровки файлов.Исследователи компании Sophos изучили WastedLocker и
You must be registered for see links
, что для обхода обнаружения вредонос использует дополнительные средства. Его создатели разработали целую последовательность маневров, направленных на то, чтобы сбить с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.Многие семейства вымогателей для обхода обнаружения используют обфускацию кода, но разработчики WastedLocker добавили к ней еще один уровень защиты – взаимодействие с функциями Windows API прямиком из памяти, куда инструментам для обнаружения вымогательского ПО, базирующимся на анализе поведения, не добраться. Для обхода этих инструментов WastedLocker шифрует файлы на атакованном компьютере с помощью ввода-вывода с отображением в память. Этот метод позволяет вымогателю прозрачно шифровать кэшированные документы в памяти, не вызывая дополнительных операций ввода-вывода на диск.
Когда заражение обнаружено, уже слишком поздно что-то предпринимать. Как правило, первым признаком атаки являются уже зашифрованные файлы и записка с требованием выкупа.
Если злоумышленникам удается получить учетные данные администратора, они могут подключиться к VPN или отключить инструменты безопасности. В отсутствие механизма двухфакторной аутентификации они легко могут авторизоваться в RDP, VPN и панелях администрирования.
Источник:
You must be registered for see links