Новая статья от «Лаборатории Касперского»: Шифровальщик как отвлекающий маневр
Исследователи «Лаборатории Касперского» проанализировали зловред HermeticRansom, известный также как Elections GoRansom. По большому счету, это достаточно несложный шифровальщик. Но в данном случае интересна цель, с которой его применяют атакующие.
Цель шифровальщика HermeticRansom
HermeticRansom атаковал компьютеры одновременно с другим зловредом, известным как HermeticWiper — и судя по информации, собранной сообществом ИБ-экспертов, использовался в недавних кибератаках на Украине. Сравнительная простота и не самая эффективная имплементация зловреда говорит о том, что HermeticRansom применяли в качестве «дымовой завесы» для атак HermeticWiper.
Что делает HermeticRansom
Попав на компьютер жертвы, зловред для начала идентифицирует жесткие диски и собирает список директорий и файлов, расположенных везде, кроме корневых папок Windows и Program Files. Затем он шифрует файлы определенных категорий и переименовывает их, присоединяя к названию метку .encrypted и почтовый адрес вымогателей. Также зловред создает в папке Desktop файл read_me.html с запиской о выкупе и контактами злоумышленников.
Особенности зловреда HermeticRansom
HermeticRansom написан на языке Golang. В нем не используются никакие механизмы обфускации, а сам применяемый метод шифрования достаточно громоздок и малоэффективен. Судя по этим и некоторым другим признакам, зловред создавался в спешке.
Более подробный технический разбор зловреда вместе с индикаторами компрометации можно найти в посте экспертного блога Securelist.
Как оставаться в безопасности
Защитные решения «Лаборатории Касперского» успешно детектируют шифровальщик HermeticRansom и ему подобные угрозы. У компании есть ряд инструментов, позволяющих защитить как домашние компьютеры, так и корпоративную инфраструктуру. В том числе:
Kaspersky Internet Security — мультиплатформенное защитное решение для домашних пользователей;
Kaspersky Endpoint Security for Business — решение для защиты бизнеса.
Полный текст статьи читайте на сайте.