Ransomware продолжает оставаться самой активной и постоянно развивающейся угрозой. Один из новейших штаммов — Snake (также известный как EKANS) впервые появившаяся в конце декабря прошлого года.

Самая интересная особенность Snake заключается в том, что она нацелена на среды промышленных систем управления (ICS) — не на отдельные машины, а на всю сеть.

Этот образец вымогателя, написанный на языке программирования Go, был впервые обнаружен в коммерческих репозиториях вредоносных программ. Он предназначен для завершения определенных процессов на компьютерах-жертв, включая несколько элементов, связанных с операциями ICS, а также для удаления Volume Shadow Copies для удаления бэкапов Windows.

Несмотря на то, что в настоящее время расшифровка недоступна, системы, на которых установлена Acronis Active Protection — защита от вредоносного ПО на основе AI, интегрированная в решения для кибербезопасности Acronis, — успешно обнаруживает Snake, как атаку ransomware и останавливает ее.

Процесс заражения и некоторые технические детали

Точкой входа для Snake является небезопасная конфигурация RDP. Он распространяется через спам и вредоносные вложения, но также может доставляться через ботнеты, пакеты эксплойтов, вредоносную рекламу, поддельные обновления, а также зараженные установщики.

Согласно анализу, который провела компания Acronis, при выполнении Snake удалит теневые копии томов компьютера, а затем уничтожит многочисленные процессы, связанные с системами SCADA, виртуальными машинами, промышленными системами управления, инструментами удаленного управления, программным обеспечением для управления сетью и так далее. Удаление резервных копий Windows является новой тенденцией настройки и ожидаемой функциональности в любом новом вымогателе.

Программа-вымогатель проверяет наличие значения Mutex «EKANS» на потенциальной жертве. Если он присутствует, вымогатель остановится с сообщением «Уже зашифровано!». В противном случае устанавливается значение Mutex, и шифрование продвигается с использованием стандартных функций библиотеки шифрования.

Основная функциональность в системах-жертв достигается через вызовы интерфейса управления Windows (WMI), которые начинают выполнять операции шифрования.

Прежде чем приступить к операциям шифрования файлов, программа-вымогатель останавливает (убивает) все процессы, перечисленные в жестко закодированном списке в зашифрованных строках вредоносного ПО.

Хорошей новостью является то, что Acronis Active Protection способен обнаруживать Snake и останавливать вредоносный процесс в режиме реального времени, а также восстанавливать любые затронутые файлы.

Источник Acronis

Решения от Acronis обеспечивают полную безопасность, доступность, конфиденциальность и аутентификацию с помощью инновационных программных продуктов для резервного копирования, обеспечения сохранности информации, аварийного восстановления, синхронизации корпоративных файлов и совместного использования файлов. Программные решения от Acronis работают в различных средах как локально, так и в облаке.

По вопросам приобретения решений Acronis обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua