Недавно компания CYFIRMA сообщила об обнаружении нового вируса-вымогателя под названием «Windows Locker» (или XDS), который активно распространяется с декабря 2024 года, преимущественно через платформу GitHub. Этот вредоносный софт написан на .NET и применяет сложные методы для поиска жертв, шифруя их файлы и добавляя к уязвимым данным расширение .winlocker.
Методы работы Windows Locker
При заражении вирус отправляет жертвам сообщение с требованием выкупа в файле Readme.txt, в котором содержатся инструкции по связи со злоумышленником и формирование платежа для расшифровки информации.
Windows Locker имеет несколько ключевых особенностей:
- Сложная вредоносная программа, предназначенная для шифрования пользовательских данных;
- Отключает системную защиту и требует выкуп;
- Использует алгоритм AES с 256-битным ключом для шифрования;
- Изменяет разделы реестра и создает записи для автозапуска;
- Удаляет теневые копии для предотвращения восстановления данных.
Влияние на системы
Windows Locker отключает основные элементы защиты, включая защитник Windows, диспетчер задач, системные горячие клавиши и правила брандмауэра. Также он использует внешние библиотеки Windows DLL для манипуляции с операционной системой.
При запуске программа нацеливается на ресурсы, такие как рабочий стол, документы и загружаемые файлы, рекурсивно шифруя данные и изменяя их расширение на .winlocker. Это указывает на скомпрометированное состояние файлов.
Психологическое воздействие и авторегистрация
В дополнение к шифрованию данных, Windows Locker изменяет фон рабочего стола на заранее определенное изображение, создавая психологическое давление на жертву. Чтобы обеспечить постоянство, вирус добавляет файл с именем discord.exe в папку данных локального приложения, что позволяет ему автоматически запускаться при старте системы.
Рекомендации по защите
Записка с требованием выкупа предупреждает жертв о шифровании данных, осуществленном с помощью шифрования военного класса, и предлагает контакты для оплаты на сервере Discord.
Специалисты рекомендуют следующие меры для снижения рисков:
- Провести динамический анализ программы-вымогателя в изолированной среде;
- Усилить защиту конечных точек и сегментировать сети;
- Создавать безопасные автономные резервные копии;
- Мониторить изменения реестра, расширения файлов и аномальное поведение.
Заключение
Появление Windows Locker подчеркивает необходимость надежных мер кибербезопасности и постоянной бдительности для борьбы с emerging threats. Проактивные стратегии, механизмы быстрого реагирования и адаптация к новым тактикам необходимы для защиты конфиденциальных данных и обеспечения непрерывности бизнеса в условиях риска со стороны изощренных хакеров.
Применяя аналитические данные об угрозах и рекомендуемые меры безопасности, организации могут значительно укрепить свою защиту от программ-вымогателей, таких как Windows Locker.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый вирус-вымогатель Windows Locker угрожает безопасности данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.