Специалисты описали новый вирус-вымогатель, который шифрует недавно изменённые файлы и не оставляет на заражённой системе записку с требованием выкупа. Такой сценарий усложняет обнаружение атаки на этапе вымогательства и быстрее бьёт по рабочим документам.
Первичный доступ связывают с украденными учётными данными RDP. После входа злоумышленники вручную загружают и запускают основной файл servertool.exe, а для закрепления используют легальные средства удалённого администрирования и штатные инструменты Windows.
В одном из изученных инцидентов фигурировали RemotePC и скрытая учётная запись администратора. После запуска вредонос рекурсивно проходит по каталогам без ограничения глубины и почти без исключений, пропуская только уже зашифрованные файлы.
Особенность атаки в том, что при одинаковой дате изменения файлов шифрование идёт по алфавиту. В результате первыми под удар могут попасть документы, с которыми сотрудники работали совсем недавно.
Отсутствие записки с требованием выкупа сокращает следы в системе. Переговоры при таком подходе могут уходить во внешние каналы, включая почту, телефон или отдельный портал для жертв.
Андрей Кузнецов, генеральный директор ООО «РуБэкап», входящего в «Группу Астра», считает, что защита должна не только находить вредоносное поведение, но и изолировать резервные копии от атакующего. Для компаний это делает особенно важными защищённые бэкапы и контроль доступа к ним.
