Сотрудники Quick Heal сообщили о новых функциях вредоносной программы Mailto, которая научилась использовать для своей работы безопасный процесс Проводника Windows. Программа-вымогатель обходит детектирование стандартными антивирусными пакетами, благодаря инфильтрации вредоносного кода в легитимную функциональность Windows Explorer.
О Mailto впервые всерьез заговорили летом 2019 года. Такое имя новой угрозе эксперты по кибербезопасности дали по наименованию расширения, которое программа добавляет к зашифрованным данным. Электронный вымогатель ориентируется не столько на рядовых пользователей, сколько на крупные корпоративные сети, делая их уязвимыми для последующих кибератак. Впрочем, вымогатель специализируется на английском языке, что затрудняет его распространение в нашей стране.
Несмотря на то, что вирусы-шантажисты — явление в сфере кибербезопасности далеко не новое, и первые экземпляры стали попадаться на глаза еще в 80-х годов, этот простой алгоритм вымогания денег остается излюбленным способом получения легких денег, так как большинство пользователей предпочтет заплатить небольшую сумму, вместо того чтобы утруждать себя восстановлением нужных данных. Злоумышленники в этом случае обычно делают упор на риск потерять зашифрованные данные навсегда, если деньги не будут переведены в указанный срок. И хотя чаще всего это оказывается банальным «разводом» на деньги, многие не готовы пойти на такой риск.
Относительно недавно создатели Mailto снабдили свое детище возможностью скрывать код в процессе Проводника Windows, с помощью запуска указанного процесса в режиме отладки. После этого применяется специальный API, вводящий вредоносный код. Это приводит к тому, что совершенно обычный процесс производит загрузку вредоносного ПО. Справившись с задачей, Mailto создает объект автозапуска в реестре операционной системы и стирает все теневые копии, после чего восстановить зашифрованные данные уже невозможно.
Производители средств защиты уже взяли на вооружение эту информацию и работают над уязвимостью. Если у вас появилось подозрение, что эта проблема коснулась и вашего оборудования, свяжитесь с нашими специалистами.
