Троян научился обходить антивирусы с помощью невинных картинок

22 авг 2017 11:35 #60344 от ICT
Судебные предписания и невинные картинки Новый троянец-шифровальщик SyncCrypt использует графические файлы для заражения компьютеров; компоненты вредоноса в зашифрованном виде скрыты внутри PNG-файлов, что позволяет обходить подавляющее большинство антивирусов. SyncCrypt распространяется вместе со спамом, в письмах с вложениями в формате WSF, которые выдаются за судебные предписания. Если пользователь открывает файл, встроенный в него JavaScript скачивает с нескольких разных адресов кажущиеся невинными графические файлы, из которых извлекается вредоносная начинка. Без скрипта это не работает, так что, если просто попытаться открыть эти изображения по прямой ссылке, вредоносные компоненты остаются зашифрованными. Компоненты троянца представляют собой три файла - sync.exe, readme.html и readme.png. WSF-файл создает в Windows отложенную задачу Sync, которая, соответственно, запускает файл sync.exe. Тот начинает сканировать компьютер на предмет файлов с определённым расширением, и шифровать их по алгоритму AES со встроенным публичным ключом RSA-4096. Зашифрованные файлы получают расширение .kk. Шифрованию подвергаются файлы более, чем 350 типов, используемые самыми популяирными программами, включая asp, bat, bmp, cdr, css, doc, docx, gif, html, eml, jpeg, jpg, jar, java, ods, odt, pdf, ppt, pptx, sql, sqlite, xls, xlsx, png, rar, tar, zip и др. http://filearchive.cnews.ru/img/news/2016/12/12/ransomeware700.jpg"> Большинство антивирусов не могут выявить троян SyncCrypt, прячущий вредоносные компоненты внутри графических файлов При этом шифровальщик пропускает содержимое системных папок - \Windows, \Program Files (x86), \Program Files, \Programdata, \Winnt, \System Volume Information, \Desktop\Readme\ и \$recycle.bin. Злоумышленники требуют $430 в биткоинах за ключ для расшифровки файлов. Преступники отводят жертвам всего 48 часов на выплату, после чего ключ уничтожается. Только один антивирус Метод распространения, используемый SyncCrypt, специалисты оценивают как весьма эффективный уже потому, что антивирусы очень редко детектируют компоненты вредоноса внутри изображений. Статистика VirusTotal показывает, что лишь один из 58 антивирусных вендоров - а именно, российский DrWeb, - считает графические файлы чем-то подозрительным. В то же время сам файл sync.exe определялся на VirusTotal как вредоносный в 28 из 63 случаев. «Ничего нового в идее прятать вредоносный код внутри изображений нет. Другое дело, что раньше внутри .PNG-файлов прятали двоичные файлы, а не архивы, - говорит [b]Георгий Лагода[/b], генеральный директор компании SEC Consult Services. – Вероятно, именно из-за этого антивирусы и пропускают то, что пропускать были бы не должны. Но в целом, самый надёжный способ защититься от подобных неприятностей, это внимательно следить, что за корреспонденция и откуда поступает, не открывать ничего, что может хотя бы в минимальной степени выглядеть подозрительно, и проверять даже кажущиеся невинными вложения с помощью антивирусных утилит и сервисов типа VirusTotal». Лагода также отметил, что, как и со всеми остальными шифровальщиками, наиболее эффективной страховкой является регулярное резервирование данных. Некоторые шифровальщики используют слишком сильные алгоритмы шифрования и лишены уязвимостей, которые позволяют вернуть данные без выплаты выкупа. Выплата же, в свою очередь, не является гарантией восстановления данных, - злоумышленники совершенно не обязательно будут соблюдать свою часть «уговора».[img]http://filearchive.cnews.ru/img/news/2016/12/12/ransomeware700.jpg"> Большинство антивирусов не могут выявить троян SyncCrypt, прячущий вредоносные компоненты внутри графических файлов При этом шифровальщик пропускает содержимое системных папок - \Windows, \Program Files (x86), \Program Files, \Programdata, \Winnt, \System Volume Information, \Desktop\Readme\ и \$recycle.bin. Злоумышленники требуют $430 в биткоинах за ключ для расшифровки файлов. Преступники отводят жертвам всего 48 часов на выплату, после чего ключ уничтожается. Только один антивирус Метод распространения, используемый SyncCrypt, специалисты оценивают как весьма эффективный уже потому, что антивирусы очень редко детектируют компоненты вредоноса внутри изображений. Статистика VirusTotal показывает, что лишь один из 58 антивирусных вендоров - а именно, российский DrWeb, - считает графические файлы чем-то подозрительным. В то же время сам файл sync.exe определялся на VirusTotal как вредоносный в 28 из 63 случаев. «Ничего нового в идее прятать вредоносный код внутри изображений нет. Другое дело, что раньше внутри .PNG-файлов прятали двоичные файлы, а не архивы, - говорит Георгий Лагода, генеральный директор компании SEC Consult Services. – Вероятно, именно из-за этого антивирусы и пропускают то, что пропускать были бы не должны. Но в целом, самый надёжный способ защититься от подобных неприятностей, это внимательно следить, что за корреспонденция и откуда поступает, не открывать ничего, что может хотя бы в минимальной степени выглядеть подозрительно, и проверять даже кажущиеся невинными вложения с помощью антивирусных утилит и сервисов типа VirusTotal». Лагода также отметил, что, как и со всеми остальными шифровальщиками, наиболее эффективной страховкой является регулярное резервирование данных. Некоторые шифровальщики используют слишком сильные алгоритмы шифрования и лишены уязвимостей, которые позволяют вернуть данные без выплаты выкупа. Выплата же, в свою очередь, не является гарантией восстановления данных, - злоумышленники совершенно не обязательно будут соблюдать свою часть «уговора».


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Троян Emotet научился путешествовать по Wi-Fi сетям13.18Четверг, 13 февраля 2020
    «Битрикс24» научился захватывать и распознавать лица с помощью технологии VisionLabs10.67Понедельник, 25 сентября 2017
    «Яндекс.Браузер» научился точнее переводить тексты с помощью искусственного интеллекта10.56Вторник, 03 июля 2018
    Ювелирный дом Valtera с помощью Mindbox «научился» находить лояльных клиентов в толпе посетителей10.45Четверг, 07 апреля 2016
    ICQ внедрила антиспам-систему для фото и картинок9.47Пятница, 19 мая 2017
    “Яндекс.Браузер” теперь умеет переводить текст с картинок9.27Пятница, 02 апреля 2021
    Mail.Ru Group запустила Clouder для сохранения картинок в любое «облако»9.17Вторник, 13 сентября 2016
    Google отключила возможность просмотра изображений в полном размере при поиске картинок9.08Пятница, 16 февраля 2018
    В МВФ считают, что криптовалюты эффективно помогают обходить ограничения властей8.96Среда, 11 мая 2022
    В России особым законом запретят рассказывать, как обходить интернет-блокировки8.86Четверг, 20 октября 2016

    Мы в соц. сетях