Вымогательское ПО SynAck обходит обнаружение с помощью новой техники
08.05.2018
Исследователи "Лаборатории Касперского" обнаружили первое в мире вымогательское ПО, использующее для обхода обнаружения новую беcфайловую технику внедрения кода Process Doppelganging.
Process Doppelganging предполагает использование встроенной в Windows функции NTFS Transactions (устаревшей реализации загрузчика процесса) и работает на всех современных версиях Windows, в том числе на Windows 10. С помощью NTFS Transactions злоумышленники запускают вредоносный процесс, заменяя память легитимного процесса, в результате чего инструменты для мониторинга и антивирусные решения принимают вредоносный процесс за легитимный.
Эксперты "Лаборатории Касперского" обнаружили новый вариант вымогательского ПО SynAck, использующий вышеописанную технику для обхода обнаружения. Попав на систему, вредонос определяет раскладку клавиатуры компьютера и сверяет полученные данные со вшитым в него списком. SynAck атакует пользователей в США, Кувейте, Иране и Германии, но обходит стороной компьютеры, где используется русский, украинский, белорусский, армянский, грузинский, азербайджанский, казахский, узбекский или таджикский язык.
Вредонос также способен предотвращать автоматический анализ песочницы, проверяя директорию, из которой он выполняется. При выполнении вредоносного файла из "неправильной" директории SynAck прерывает процесс инсталляции и самоуничтожается.
После установки на системе жертвы SynAck шифрует содержимое каждого файла с помощью алгоритма AES-256-ECB и требует выкуп за их расшифровку. Согласно отображаемому шифровальщиком уведомлению, киберпреступники не вымогают деньги, а лишь "предлагают свои услуги по восстановлению файлов", причиняющих "неудобство".
