«Исследователи безопасности обнаружили новый вид вируса-вымогателя, который использует малоизвестный формат файла Java, чтобы затруднить его обнаружение до того, как он активирует свой вредоносный код по шифрованию файлов.
Подразделение реагирования на инциденты консалтингового гиганта KPMG было призвано запустить восстановительные работы в неназванном европейском образовательном институте, пострадавшем от атаки вируса-вымогателя. Исследовательское подразделение BlackBerry, которое сотрудничает с KPMG, проанализировало вредоносное ПО и опубликовало выводы по нему в четверг.
Исследователи BlackBerry рассказали, что хакер «проник» в сеть института с помощью виртуального сервера удаленного рабочего стола (RDS), подключенного к интернету, и развернул постоянный «backdoor», чтобы легко получить в следующий раз доступ к сети. После нескольких дней бездействия, чтобы предотвратить обнаружение, хакер снова входит в сеть через «backdoor», отключает любую запущенную антивирусную службу, распространяет модуль вируса-вымогателя по сети и активирует вредоносный код, шифруя файлы каждого компьютера и, по сути, держа их в заложниках для выкупа.
Исследователи заявили, что впервые увидели модуль-вымогатель, скомпилированный в формате Java image file, или JIMAGE. Эти файлы содержат все компоненты, необходимые для запуска кода - они немного похожи на Java-приложение и имеют его необходимый функционал , но редко сканируются антивирусными программами и могут часто оставаться незамеченными.
BlackBerry назвали новую программу-вымогатель "Tycoon" ("Магнат" по-английски), ссылаясь на имя папки, найденное в распакованном коде. Исследователи заявили, что у модуля есть код, который позволяет вирусу-вымогателю работать как на компьютерах под управлением Windows, так и Linux.
Хакеры-вымогатели обычно используют полноценные о очень сильные алгоритмы шифрования для скремблирования(шифрования) файлов жертв в обмен на выкуп, чаще всего требуемый в криптовалюте (отследить практически не возможно). Для большинства жертв атак данного вируса есть 2 варианта: надеяться, что у них есть backup(данные заархивированы на независимом накопителе) или заплатить выкуп. (ФБР давно отговаривает жертв от уплаты выкупа.)
Ранее исследователи заявляли, что есть надежда, что некоторые жертвы смогут восстановить свои зашифрованные файлы, не заплатив выкуп. Ибо ранние версии вируса-вымогателя Tycoon использовали одни и те же ключи шифрования для скремблирования файлов своих жертв. Это означает, что один инструмент дешифрования может быть использован для восстановления файлов нескольких пострадавших, отмечают исследователи. Но более новые версии "Tycoon", похоже, исправили эту свою слабую сторону.
Эрик Милам (Eric Milam) и Клаудиу Теодореску (Claudiu Teodorescu) из BlackBerry рассказали TechCrunch, что за последние полгода они наблюдали около десятка точно направленных атак вируса «Tycoon», что говорит о том, что хакеры тщательно и осторожно отбирают своих жертв, ими могут стать даже учебные заведения и «дома» разработчиков ПО.
Так же, исследователи заявили, что фактическое количество пораженных вирусами систем, скорее всего, гораздо выше, как это часто и бывает.»
Адаптивный перевод с английского от автора канала. Статья взята с сайта: https://techcrunch.com/
Ссылка на статью: https://techcrunch.com/2020/06/04/tycoon-java-ransomware/
Так что, дорогие мои читатели, помните: помимо наличия стационарных полноценных антивирусных комплексов на ваших ПК, просто необходимо делать регулярные «бэкапы» важной информации. И, желательно, использовать для этого несколько разных независимых накопителей. Не пытайтесь сами вылечить или удалить подобные вирусы, если у вас на компьютере имеется важная информация. После ваших действий, вы можете лишиться возможности восстановления ваших файлов навсегда. Лучше и правильней всего связаться с лабораторией того антивируса, что установлен на вашем ПК.
Подписывайтесь на канал, пишите комментарии, задавайте вопросы, заказывайте темы для последующих статей. Ну и, конечно же, ставьте лайки, если вам понравился «контент».
Ваш CPUncle