Новый шифровальщик, названный SyncCrypt, был обнаружен на этой неделе в Интернет. Первое упоминание о нем привёл исследователь xXToffeeXx.

Источником проникновения на компьютер жертвы называется спам-рассылка, с вложением, выглядящим как судебная повестка, а на самом деле являющимся выполнимым файлом WSF. Имя файла вложения похоже на СourtOrder_845493809.wsf.

WSF – Windows Script File – файл сценария Windows.

Внутри файла скрипта допустимо использование JScript и VBScript, а также других скриптовых языков. Файл основан на XML разметке.

Шифровальщик после запуска пытается загрузить на компьютер жертвы несколько картинок с внешних ресурсов. Причём, что интересно, если вручную скачать эти картинки по URL, зашитым в скрипт, то вы увидите обычное изображение. В данном случае – это обложка альбома Olafur Arnalds “& They Have Escaped the Weight of Darkness”. Но, если рассмотреть эти файлы более подробно, то можно увидеть в них ZIP-архив, внутри которого располагается вредоносный payload:

Изображения скачиваются в папку %Temp% со случайным именем zip-архива. Затем архив разворачивается в папку %Temp%\BackupClient.

sync.exe выполняется для установки шифровальщика в систему.

Ниже привёден скриншот с кодом вредоносного скрипта:

скриншоты с сайта https://www.bleepingcomputer.com

Опасность состоит в том, что на время проведения исследования, только DrWeb определял SyncCrypt как вредоносное ПО.

После того, как разворачивается zip-архив с sync.exe, wsf-скрипт создаёт в планировщике задание с именем Sync, которое запускается через 1 минуту.

Sync.exe сканирует файловую систему компьютера и для определенных типов файлов выполняет AES-шифрование. AES-ключ, используемый для шифрования, в свою очередь шифруется публичным ключом RSA-4096 и сохраняется в файле %Desktop%\README\key.

Расширения файлов, которые шифрует SyncCrypt:

После шифрования, к расширению файла добавляется расширение .kk. Например, если файл назывался Example.cdr, его имя будет Example.cdr.kk.

Во время работы SyncCrypt пропускает следующие папки:

После окончания шифрования на рабочем столе создается папка README, внутри папки располагаются файлы AMMOUNT.txt, key, readme.html и readme.png.

Шифровальшик автоматически открывает браузер по умолчанию и показывает файл readme.html.

Выкуп уже традиционно необходимо платить в биткоинах.

На текущий момент не существует бесплатных способов расшифровать зашифрованные файлы.

Как защититься от SyncCrypt

Эксперты приводят несколько рекомендаций защиты от шифровальщиков, с которыми я полностью согласен:

  • Регулярно создавайте резервные копии. Причём, копирование на другой диск, флешку и облачные диски не являются резервными копиями. Правильный вариант – Azure Backup.
  • Не открывайте вложения от неизвестных отправителей. Используйте Office 365 Advanced Threat Protection для защиты от спам-рассылок с вредоносным ПО.
  • Регулярно устанавливайте все обновления безопасности программного обеспечения.
  • Используйте различные пароли для разных сайтов и программ.

 

SyncCrypt – новый вымогатель
Поделись с друзьями:
Дмитрий Узлов on EmailДмитрий Узлов on FacebookДмитрий Узлов on Linkedin
Руководитель направления проектов компании "Технополис".
MCSE - Cloud Platform and Infrastructure [Charter Member]
MCSE - Productivity

Помогаю компаниям создавать безопасную и надёжную среду для коллективной работы сотрудников, используя облачные технологии.
Метки:

Отправить ответ

Please Login to comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
Уведомлять
Перейти к верхней панели