SOS :: Security Operation Space
14 ноября, среда, 00:00
|
Hot News:

Вымогатель Dharma вернулся в новом варианте

16 августа 2018 г., четверг, 12:00

Зловред, распространяющийся через RDP-программы, теперь шифрует файлы в другой формат.

ИБ-специалист и разработчик ID Ransomware Майкл Гиллеспи (Michael Gillespie) обнаружил новый вариант вымогателя Dharma. Теперь зловред шифрует данные, добавляя к ним другое расширение файла — cmb.

Злоумышленники устанавливают вредоносное ПО на компьютеры жертв с помощью RDP-утилит. Они сканируют Интернет в поисках открытых TCP-портов 3389, предоставляющих доступ к удаленному рабочему столу, меняют системный пароль и запускают шифровку файлов.

Атаки через RDP получают все большее распространение. В начале 2017 года через протокол удаленного доступа на компьютеры проникло 66% зловредов, а через электронную почту — лишь 33%. Этим способом пользовался и шифровальщик Crysis, на котором основан Dharma. ИБ-исследователи выявили между ними прямую связь, анализируя атаки вымогателей за 2016 год.

Новый вариант вредоноса добавляет после кодирования к имени файла уже не .dharma, а расширение в формате .id-[id].[e-mail].cmb. При этом [e-mail] указывает фактический адрес электронной почты злоумышленника, по которому жертва должна с ним связаться. Так, test.jpg после шифровки превратится в test.jpg.id-BCBEF350.[Paymentbtc@firemail.cc].cmb.

Лоуренс Абрамс (Lawrence Abrams), аналитик издания BleepingComputer, предупреждает о серьезности угрозы.

«Этот вымогатель зашифрует и подключенные сетевые диски, и общие среды под управлением виртуальной машины, и неотображаемые совместные сетевые папки. Поэтому необходимо убедиться, что доступ к вашим сетевым ресурсам был только у тех, кому он действительно нужен».

Кроме того, вредоносное ПО прописывается в автозапуске и при каждой перезагрузке кодирует новые файлы.

Требования выкупа вымогатель оставляет сразу в двух местах. Первое сообщение, Info.hta, автоматически появляется после запуска зараженного компьютера. Второе, текстовый файл с именем FILES ENCRYPTED.txt, пользователь может найти на рабочем столе.

В обеих записках злоумышленники предлагают писать на адрес bbcc@firemail.cc, чтобы получить инструкции об оплате в биткоинах. Цена не указана, однако преступники отметили, что она зависит от того, насколько быстро жертва к ним обратится.

На данный момент возможности бесплатно расшифровать файлы нет, так как ключи для новой версии Dharma еще не разработаны. Поэтому специалисты рекомендуют не забывать регулярно выполнять резервное копирование, а также проверить, правильно ли заблокированы службы удаленного доступа.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:40
15:15
15:07
15:03
14:15
13:15
12:35
12:15
11:29
10:15
10:15
09:15
08:15
07:15
07:15
06:15
06:07
17:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.147
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.