Недавно обнаруженный Linux-вариант вируса атакует среды VMware, шифруя, в частности, все файлы с расширениями vmdk, vmem, vswp, vmx, vmsn и nvram и добавляя собственное расширение .locked.
Аналитики Trend Micro отметили, что злоумышленники на этот раз используют новый прием – для обхода защитных средств используется скрипт PowerShell и маскирующие упаковщики (Fully Undetectable Packers - FUD).
После первичной загрузки, скрипт PowerShell подгружает и запускает основную вредоносную нагрузку. Далее – она производит проверку среды, в которой функционирует, и пересылает на контрольный сервер информацию о наименовании хоста, IP-адресе, операционной системе и о подключенных в данный момент пользователях уникальные идентификаторы, и подробности о шифруемых файлах и каталогах. Затем запускается процесс шифрования файлов, и генерируется требование о выкупе. После – вредонос пытается удалить следы своего присутствия в системе, чтобы затруднить расследование.
«В данном случае, с высокой долей вероятности, используются взломанные сервера с СУБД SQL. Однако надо понимать, что подобные незаконные точки доступа могут быть созданы в случае компрометации пограничных устройств типа межсетевых экранов, криптошлюзов, активного сетевого оборудования. Поэтому, крайне важно контролировать целостность файлов конфигураций подобных объектов, в том числе и конфигурации гипервизоров. Для этой цели существует программный продукт Efros DefOps, который как раз и защищает ИТ-инфраструктуру компании от подобного рода нелегитимного вмешательства в СУБД, фаерволлы, криптошлюзы и гипервизоры. Анализ правил межсетевого экранирования, контроль целостности, централизованное управление доступом к сетевому оборудованию, возможность интеграции с SIEM – все это позволяет выявлять активности злоумышленников и предотвращать атаки на инфраструктуру компании и повысить защищенность информационных активов», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.