Nowy wariant trojana ransomware o nazwie SynAck

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19075
Reakcje/Polubienia
55501
Badacze z Kaspersky Lab wykryli nowy wariant trojana ransomware o nazwie SynAck, który wykorzystuje technikę tworzenia sobowtórów procesów w celu obejścia ochrony antywirusowej poprzez ukrywanie się w legalnych zasobach. Jest to pierwszy znany przypadek wykorzystania tej techniki w szkodliwym kodzie dystrybuowanym w internecie. Twórcy SynAck stosują również inne sztuczki w celu uniknięcia wykrycia i analizy.

Oprogramowanie ransomware SynAck znane jest od jesieni 2017 r. W grudniu
Zaloguj lub Zarejestruj się aby zobaczyć!
byli głównie użytkownicy anglojęzyczni. Wykryty przez badaczy z Kaspersky Lab nowy wariant jest znacznie bardziej wyrafinowany.

Technika tworzenia sobowtórów procesów (Process Doppelgänging), którą
Zaloguj lub Zarejestruj się aby zobaczyć!
w grudniu 2017 r., polega na wstrzykiwaniu kodu bezplikowego, który wykorzystuje wbudowaną funkcję systemu Windows oraz nieudokumentowaną implementację modułu ładującego procesy w tym systemie operacyjnym. Poprzez manipulowanie sposobem obsługiwania transakcji plików przez system Windows atakujący mogą sprawić, aby niebezpieczne działania wyglądały na nieszkodliwe, legalne procesy, nawet jeśli wykorzystują znany szkodliwy kod. Omawiana technika nie pozostawia żadnego widocznego śladu, przez co tego rodzaju ingerencja jest niezwykle trudna do wykrycia. Jest to pierwsze oprogramowanie ransomware zaobserwowane na wolności, które wykorzystuje tę technikę.

Inne istotne cechy nowej wersji trojana SynAck:

  • W przeciwieństwie do większości programów ransomware, które pakują swój kod wykonywalny, trojan zaciemnia go, utrudniając badaczom odtworzenie i analizę szkodliwego kodu.
  • Szkodnik zaciemnia również odsyłacze do niezbędnej funkcji API i zamiast właściwych ciągów przechowuje ich skróty.
  • Po instalacji trojan sprawdza katalog, z którego uruchamiany jest jego plik wykonywalny, i jeśli zauważy próbę uruchomienia go z „niewłaściwego” katalogu – takiego jak potencjalna zautomatyzowana piaskownica wykorzystywana przez analityka – kończy działanie.
  • Szkodnik kończy również działanie bez wykonania, jeśli na klawiaturze komputera ofiary ustawiono stosowanie cyrylicy.
  • Przed zaszyfrowaniem plików na urządzeniu ofiary SynAck porównuje skróty wszystkich uruchomionych procesów i usług z własną zakodowaną na stałe listą. Jeśli znajdzie dopasowanie, próbuje zakończyć proces. Zablokowane w ten sposób procesy dotyczą maszyn wirtualnych, aplikacji biurowych, interpreterów skryptów, aplikacji baz danych, systemów zapasowych, gier i innych – prawdopodobnie w celu ułatwienia przechwycenia cennych plików, które w przeciwnym razie mogłyby zostać zablokowane w uruchomionych procesach.
  • Ransomware SynAck może dodawać niestandardowy tekst do ekranu logowania Windows. Robi to, modyfikując klucze LegalNoticeCaption i LegalNoticeText w rejestrze. W rezultacie, zanim użytkownik zaloguje się na swoje konto, system Windows wyświetli wiadomość od cyberprzestępców:
Ransomware%20SynAck.png

Badacze uważają, że ataki z użyciem nowej wersji szkodnika SynAck są ściśle ukierunkowane. Jak dotąd zaobserwowano ograniczoną liczbę ataków w Stanach Zjednoczonych, Kuwejcie, Niemczech i Iranie, w których żądano okupu w wysokości 3 tys. dolarów amerykańskich.

Więcej informacji na temat najnowszej wersji trojana SynAck
Zaloguj lub Zarejestruj się aby zobaczyć!
.
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Ciekawe jest to zdanie:
Szkodnik kończy również działanie bez wykonania, jeśli na klawiaturze komputera ofiary ustawiono stosowanie cyrylicy. :)
 
Ostatnia edycja:

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4255
Reakcje/Polubienia
5662
Miasto
To tu to tam....
Za duzo slow... nie moge byc ekspertem od wszystkiego, bo to niektorym przeszkadza...
 
Ostatnia edycja:
Do góry