Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие используют сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Вместе с тем извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.exe»), а этот файл загружает и запускает другой исполняемый файл «SmartScreen Defender Windows.exe», который начинает процесс шифрования.
Одна из особенностей вымогателя Faust – способность создавать сразу несколько потоков для эффективного шифрования данных.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что хакерские атаки с шифрованием данных – это проблема, с которой сегодня представители крупного бизнеса сталкиваются все чаще. «Хакер может обойти внешний периметр защиты, пройти DMZ-зону и при этом остаться незамеченным. Но вот изменения, которые он внесет на целевой системе, можно обнаружить, в случае, если все критически важные файлы и конфигурации, контролируются на неизменность», – говорит Юлия Парфенова.