«Лаборатория Касперского» обнаружила шифровальщик, который использует уязвимость нулевого дня в Windows
Операции с документом
«Лаборатория Касперского» обнаружила шифровальщик, который эксплуатирует уязвимость нулевого дня в Windows для повышения привилегий в зараженной системе и использует для маскировки архитектурные особенности процессора, что нечасто встречается в зловредах подобного типа. Программа, получившая название Sodin, требует выкуп в биткойнах, эквивалентный сумме $2,5 тыс.
Эксперты обнаружили некоторые признаки, которые позволяют предположить, что Sodin распространяется по RAAS-модели (вымогатель-как-услуга, от англ. Ransomware-as-a-Service), то есть продается на черном рынке. С этим связана интересная особенность этого зловреда. Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Функциональность же Sodin содержит лазейку, которая позволяет его авторам иметь возможность расшифровывать файлы втайне от распространителей.
Также, чтобы затруднить анализ вредоносного кода программами-отладчиками и усложнить обнаружение этого шифровальщика защитными решениями, злоумышленники используют редкую в случае программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-разрядный код в 32-разрядном процессе.
Методы распространения данного шифровальщика в большинстве случаев не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники компрометируют серверы, на которых запущено уязвимое ПО, и незаметно для жертвы устанавливают зловред в систему.
Решения «Лаборатории Касперского» распознают этот зловред как Trojan-Ransom.Win32.Sodin и блокируют его активность. Уязвимость CVE-2018-8453, которую эксплуатирует Sodin, ранее использовала кибергруппировка Fruityarmor. Патч для этой уязвимости был создан 10 сентября 2018 г.
Чтобы избежать заражения шифровальщиком Sodin эксперты «Лаборатории Касперского» рекомендуют: убедиться, что используемое ПО регулярно обновляется до самых новых версий; не открывать подозрительные почтовые вложения и не переходить по сомнительным ссылкам, даже если вам их присылают знакомые; использовать надежное защитное решение; регулярно делать резервные копии важных данных, которые желательно хранить отдельно.
Подробнее: http://safe.cnews.ru/news/line/2019-07-03_laboratoriya_kasperskogo_obnaruzhila_shifrovalshchik