Троян научился обходить антивирусы с помощью невинных картинок

невинные картинки и Судебные предписания

Новый троянец-шифровальщик SyncCrypt применяет графические файлы для заражения компьютеров; компоненты вредоноса в зашифрованном виде скрыты в PNG-файлов, что разрешает обходить большинство антивирусов.

SyncCrypt распространяется совместно со спамом, в письмах с вложениями в формате WSF, каковые выдаются за судебные предписания. В случае если пользователь открывает файл, встроенный в него JavaScript скачивает с нескольких различных адресов кажущиеся невинными графические файлы, из которых извлекается вредоносная начинка.

Без скрипта это не работает, так что, в случае если открыть эти изображения по прямой ссылке, вредоносные компоненты остаются зашифрованными.

Компоненты троянца являются три файла — sync.exe, readme.html и readme.png.

WSF-файл формирует в Windows отложенную задачу Sync, которая, соответственно, запускает файл sync.exe. Тот начинает сканировать компьютер на предмет файлов с определённым расширением, и шифровать их по методу AES со встроенным публичным ключом RSA-4096. Зашифрованные файлы приобретают расширение .kk.

Шифрованию подвергаются файлы более, чем 350 типов, применяемые самыми популяирными программами, включая asp, направляться, bmp, cdr, css, doc, docx, gif, html, eml, jpeg, jpg, jar, java, ods, odt, pdf, ppt, pptx, sql, sqlite, xls, xlsx, png, rar, tar, zip и др.

Троян научился обходить антивирусы с помощью невинных картинок

Большая часть антивирусов не смогут распознать троян SyncCrypt, прячущий вредоносные компоненты в графических файлов

Наряду с этим шифровальщик пропускает содержимое системных папок — \Windows, \Program Files (x86), \Program Files, \Programdata, \Winnt, \System Volume Information, \Desktop\Readme\ и \$recycle.bin.

Преступники требуют $430 в биткоинах за ключ для расшифровки файлов. Преступники отводят жертвам всего 48 часов на выплату, по окончании чего ключ уничтожается.

Лишь один антивирус

Способ распространения, применяемый SyncCrypt, эксперты квалифицируют как очень действенный уже вследствие того что антивирусы весьма редко детектируют компоненты вредоноса в изображений. Статистика VirusTotal говорит о том, что только один из 58 противовирусных вендоров — в частности, российский DrWeb, — вычисляет графические файлы чем-то странным. Одновременно с этим сам файл sync.exe определялся на VirusTotal как вредоносный в 28 из 63 случаев.

«Ничего нового в идее прятать вредоносный код в изображений нет. Однако раньше в .PNG-файлов прятали бинарные файлы, а не архивы, — говорит Георгий Лагода, председатель совета директоров компании SEC Consult Services. – Возможно, как раз вследствие этого антивирусы и пропускают то, что пропускать были бы не должны. Но в целом, самый надёжный метод защититься от аналогичных проблем, это пристально следить, что за корреспонденция и откуда поступает, не открывать ничего, что может хотя бы в минимальной степени смотреться подозрительно, и контролировать кроме того кажущиеся невинными вложения посредством противовирусных утилит и сервисов типа VirusTotal».

Лагода кроме этого подчернул, что, как и со всеми остальными шифровальщиками, самая эффективной страховкой есть регулярное резервирование данных. Кое-какие шифровальщики применяют через чур сильные методы шифрования и лишены уязвимостей, каковые разрешают вернуть эти без выплаты выкупа. Выплата же, со своей стороны, не есть гарантией восстановления данных, — преступники совсем не обязательно будут выполнять собственную часть «уговора».

Увлекательные записи:

Новый антивирус против RMS


Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.