SOS :: Security Operation Space
20 апреля, пятница, 00:00
Hot News:

Новое поколение вымогателя Matrix атакует через RDP

10 апреля 2018 г., вторник, 16:47

ИБ-специалисты пока не подобрали ключ к очередной вариации известного с 2016 года шифровальщика.

Независимые эксперты команды MalwareHunterTeam обнаружили две новые вариации известного зловреда-вымогателя Matrix. Шифровальщики этого поколения атакуют компьютеры через протокол удаленного доступа (Remote Desktop Protocol, RDP) и могут безвозвратно уничтожить все содержимое жесткого диска.

Предыдущие версии Matrix распространялись через malvertising-кампании и вредоносные веб-скрипты. Впервые этот вымогатель попал на радары ИБ-экспертов в конце 2016 года. В требовании выкупа на первом месте находился русскоязычный текст.

Аналитики не нашли практически никаких различий между двумя новыми версиями Matrix. В обоих случаях преступники распространяют шифровальщик через незащищенные порты удаленного доступа, которые можно найти с помощью специальных поисковых машин. После установки на компьютер вредоносы шифруют данные на жестком диске и удаленных сетевых ресурсах, а также уничтожают теневые копии томов, чтобы лишить пользователя возможности восстановить файлы. Оба варианта присваивают документам закодированные имена и расширения, в которых указан один из email-адресов мошенников. В одном случае это .[Files4463@tuta.io], в другом — .[RestorFile@tutanota.com].

Вторую версию Matrix эксперты оценили как более продвинутую: она умеет перезаписывать свободное место на диске C:, чтобы исключить попытки жертвы самостоятельно восстановить данные. Еще одно отличие — в этой вариации системное окно содержит более подробную информацию о прогрессе заражения.

В каждой папке с зашифрованными файлами вымогатель оставляет сообщение с требованием выкупа. Схожее послание отображается на рабочем столе зараженного компьютера. На этот раз мошенники требуют обращаться к ним на английском языке, правда, само письмо содержит ошибки.

Сумма выкупа в сообщении не уточняется. Преступники предупреждают, что она зависит от скорости ответа пользователя, а в качестве подтверждения, что спасти утраченные документы возможно, предлагают бесплатно расшифровать три файла. Жертвы получают неделю на принятие решения, после чего злоумышленники обещают удалить ключ.

На данный момент ИБ-специалистам не удалось найти декриптор для нового Matrix. Пользователям рекомендуется принять профилактические меры защиты: применять антивирусное ПО с функцией поведенческого анализа, вовремя устанавливать обновления Windows и прикладных программ и не открывать подозрительные вложения в электронных письмах. При работе с удаленным доступом эксперты советуют развернуть VPN, чтобы не позволить злоумышленникам подключиться к компьютеру из внешних сетей.

Ранее ИБ-специалисты предупреждали, что RDP становится основным каналом доставки шифровальщиков. Причиной тому — слабые пароли и некорректная настройка удаленного доступа. В конце марта Microsoft анонсировала обновление безопасности, которое запретит незащищенным RDP-клиентам подключаться к Windows-серверам.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
03:09
02:39
02:11
16:50
13:30
13:16
12:54
09:46
15:53
15:46
15:26
12:45
12:43
12:22
04:14
16:46
15:21
14:50


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности) | DO  // Обратная связь  | 0.081
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.