Вымогатель SynAck — злой двойник

7 мая 2018

Вредоносные программы постоянно эволюционируют, и, чтобы спрятать их от антивирусов, злоумышленники используют самые разные техники. Иногда эта эволюция движется стремительными темпами. Так, программа-вымогатель SynAck, известная с сентября 2017 года (тогда это был обычный зловред, не отличавшийся особыми умом и сообразительностью), недавно прошла серьезную модернизацию. Теперь она научилась избегать обнаружения с невероятной эффективностью и использует новую технику маскировки процессов — клонирование.

Атака втихую

Создатели вредоносного ПО часто обфусцируют код — делают его нечитаемым, чтобы антивирусы не могли распознать зловреда. Обычно для этого используют специальные программы-упаковщики. Однако разработчики защитного ПО тоже не лыком шиты, так что почти все антивирусы быстро научились без особых проблем распаковывать все обратно и отлавливать вредоносные программы. Создатели SynAck прибегли к другому способу, который требует куда больше усилий как от них самих, так и от разработчиков защитных решений: вредоносный код обфусцируется до компиляции, что значительно усложняет его обнаружение.

И это не единственная техника, которую использует новая версия SynAck. Злоумышленники также применили достаточно сложный метод клонирования процессов, известный как Process Doppelgänging. В сущности, Synack – первый обнаруженный вымогатель, который использует этот способ маскировки. В целом же о Process Doppelgänging широкой общественности стало известно после доклада исследователей на конференции Black Hat 2017. После этого метод подхватили киберпреступники и начали использовать его в некоторых зловредах.

Process Doppelgänging работает за счет некоторых особенностей файловой системы NTFS и устаревшего загрузчика процессов Windows, который есть во всех версиях этой ОС, начиная с Windows XP. С использованием всего этого злоумышленники могут создавать бесфайловые зловреды, которые маскируют вредоносные действия под обычные процессы. Технически этот метод довольно сложен. Подробнее о нем вы можете прочитать в отдельной статье на сайте Securelist.

SynAck отличается и еще двумя особенностями. Во-первых, он проверяет, установился ли зловред в правильную папку на компьютере. Если папка не та, то вымогатель просто не запускается. Это сделано, чтобы его нельзя было обнаружить с помощью автоматических «песочниц». Во-вторых, SynAck также проверяет, как настроена клавиатура. Если она соответствует определенным параметрам (в данном случае — поддерживает кириллический шрифт), то зловред опять же ничего не делает. Это распространенная техника, которая позволяет нацелить атаку на определенные регионы.

Кручу, верчу, зашифровать хочу

С точки зрения обычного пользователя, которому безразличны все ужимки и прыжки зловреда, SynAck — это просто еще один вымогатель, разве что довольно жадный: в качестве выкупа он просит аж 3 000 долларов США. Перед тем как зашифровать данные, SynAck норовит отключить некоторые процессы, которые могут блокировать ему доступ к важным данным, не давая их зашифровать. Файлы, с которыми работает система, изменить невозможно, поэтому Synack и пытается заставить систему их не трогать.

Требование выкупа, включая инструкции по связи со злоумышленником, появляются на экране загрузки. К сожалению, у SynAck надежный алгоритм шифрования, и он использует его с умом. Исследователям пока не удалось найти в его реализации никаких просчетов, поэтому вернуть к жизни зашифрованные файлы на данный момент невозможно без уплаты выкупа.

Согласно нашим наблюдениям, SynAck распространяется в основном с помощью брутфорса по протоколу удаленных рабочих столов (RDP) — а значит, он охотится в первую очередь на бизнес-пользователей. Гипотезу о целевой природе атак подтверждает и то, что пока было отмечено лишь небольшое количество попыток заражения, и только в США, Кувейте и Иране.

Готовы к новому поколению вымогателей?

Даже если вы не столкнетесь с SynAck, само его существование говорит о том, что трояны-шифровальщики эволюционируют, становясь все опаснее и опаснее, — а защищаться от них, соответственно, все сложнее. Утилиты-декрипторы будут появляться все реже, поскольку злоумышленники учатся избегать ошибок, которые позволяли исследователям делать программы для расшифровки. И хотя шифровальщики сегодня постепенно сдают позиции скрытым майнерам (как мы и предсказывали), атаки такого рода по-прежнему остаются распространенной глобальной угрозой, от которой должен защитить себя любой предусмотрительный интернет-пользователь.

Вот несколько советов, как избежать заражения или свести к минимуму его последствия.

  • Регулярно создавайте резервные копии данных. Храните резервные копии на отдельных носителях, не подключенных постоянно к вашей локальной сети или Интернету.
  • Если вы не используете для работы удаленный рабочий стол Windows, отключите его.
  • Установите надежное защитное решение со встроенным сетевым экраном и специальными компонентами для защиты от программ-вымогателей, например Kaspersky Small Office Security для малого бизнеса или Kaspersky Endpoint Security для более крупных компаний. Продукты «Лаборатории Касперского» обнаруживают SynAck, несмотря на все его фокусы с маскировкой.
  • Если у вас уже есть другой антивирус, вы можете установить Kaspersky Anti-Ransomware Tool — бесплатное средство для защиты от программ-вымогателей, совместимое с решениями других поставщиков.