Фахівці з комп’ютерної безпеки з компанії Carbon Black розповіли про новий вірус-здирника Conti, який відрізняється швидкістю шифрування файлів і ще деякими особливостями.
Conti належить до так званих «вірусів-здирникам, керованих людиною». Тобто, спочатку хакери здійснюють цільову атаку на комп’ютерні мережі державних відомств або великих компаній, а потім вже запускають в роботу вірус.
При цьому для забезпечення швидкості шифрування файлів Conti запускає відразу 32 потоку. Багатопотокові віруси не унікальні, але така кількість потоків незвично. Ще однією особливістю є управління вірусом через консольний клієнт. Наприклад, вірус можна «нацькувати» на шифровку тільки мережевих каталогів, а файли на локальному комп’ютері залишити без змін.
«Таким чином, хакери можуть забезпечити точковий ефект навіть у зараженій мережі і атакувати, наприклад, один сервер. Крім того, така тактика дозволяє вірусу довше залишатися непоміченим», – розповів технічний директор з досліджень атак в Carbon Black Брайан Баскін (Brian Baskin).
Ще однією родзинкою Conti є використання Windows Restart Manager, який дозволяє зняти блокування файлу перед перезавантаженням. Таким чином вірус може зашифрувати файли, які в звичайному стані заблоковані іншим процесом. Наприклад, файли баз даних. За словами фахівців Carbon Black, це справді рідкісна техніка.
Як і інші віруси-вимагачі, Conti вимагає виплати викупу в биткоинах для отримання інструменту розшифровки файлів. При цьому на поточний момент способів розшифрувати файли без сплати викупу не існує.
Нещодавно повідомлялося, що вірус-шифрувальник Avaddon використовують макроси в Microsoft Excel для розповсюдження. Крім того, на початку місяця стало відомо, що користувачі MacOS піддалися атаці вірусу EvilQuest.
Thanks!
Our editors are notified.