Ransomware продовжує залишатися найактивнішою загрозою, що постійно розвивається. Один ыз новітніх штамів – Snake (також відомий як EKANS) вперше з’явилася наприкінці грудня минулого року.
Найцікавіша особливість Snake полягає в тому, що вона націлена на середовища промислових систем управління (ICS) – не на окремі машини, а на всю мережу.
Цей зразок вимагача, написаний на мові програмування Go, був вперше виявлений у комерційних репозиторіях шкідливих програм. Він призначений для завершення певних процесів на комп’ютерах-жертв, включаючи кілька елементів, пов’язаних з операціями ICS, а також для видалення Volume Shadow Copies для видалення резервних копій Windows.
Незважаючи на те, що в даний час розшифровка недоступна, системи, на яких встановлена Acronis Active Protection – захист від шкідливих програм на основі AI, інтегрована в рішення для кібербезпеки Acronis, – успішно виявляє Snake, як атаку ransomware і зупиняє її.
Процес зараження і деякі технічні деталі
Точкою входу для Snake є небезпечна конфігурація RDP. Він поширюється через спам і шкідливі вкладення, але також може доставлятися через ботнети, пакети експлойтів, шкідливу рекламу, підроблені поновлення, а також заражені установники.
Згідно з аналізом, який провела компанія Acronis, при виконанні Snake видалить тіньові копії томів комп’ютера, а потім знищить численні процеси, пов’язані з системами SCADA, віртуальними машинами, промисловими системами управління, інструментами віддаленого керування, програмним забезпеченням для керування мережею і так далі. Видалення резервних копій Windows є новою тенденцією налаштування та очікуваної функціональності в будь-якому новому вимагачі.
Програма-вимагач перевіряє наявність значення Mutex «EKANS» на потенційній жертві. Якщо він присутній, вимагач зупиниться з повідомленням «Вже зашифровано!». В іншому випадку встановлюється значення Mutex, і шифрування просувається з використанням стандартних функцій бібліотеки шифрування.
Основна функціональність в системах-жертв досягається через виклики інтерфейсу управління Windows (WMI), які починають виконувати операції шифрування.
Перш ніж приступити до операцій шифрування файлів, програма-вимагач зупиняє (вбиває) всі процеси, перераховані в жорстко закодованому списку в зашифрованих рядках шкідливого ПЗ.
Доброю новиною є те, що Acronis Active Protection здатний виявляти Snake і зупиняти шкідливий процес у режимі реального часу, а також відновлювати будь-які порушені файли.
Джерело Acronis
Рішення від Acronis забезпечують повну безпеку, доступність, конфіденційність і аутентифікацію за допомогою інноваційних програмних продуктів для резервного копіювання, збереження інформації, аварійного відновлення, синхронізації корпоративних файлів та спільного використання файлів. Програмні рішення від Acronis працюють в різних середовищах як локально, так і в хмарі.
З питань придбання рішень Acronis звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua
