Експерти «Лабораторії Касперського» виявили вірус-шифрувальник, який отримав назву Sodin, який вимагає викуп у биткоинах, еквівалентний сумі 2500 доларів США.
Sodin використовує уразливість нульового дня в Windows для підвищення привілеїв у зараженої ОС, а також використовує для маскування архітектурні особливості процесора, що нечасто зустрічається у вірусах подібного типу.
Sodin імовірно поширюється на чорному ринку як RAAS (вимагання-як-послуга, від англ. Ransomware-as-a-Service). Зазвичай при такій схемі єдиний ключ для дешифрування файлів знаходиться в розпорядженні розповсюджувачів програми. Однак творці Sodin залишили для себе лазівку, завдяки якій вони мають можливість розшифровувати файли потай від розповсюджувачів.
Крім того, зловмисники використовували рідкісну для програм-вимагачів техніку «Небесні врата» (heaven’s Gate), яка дозволяє виконувати 64-бітний код на 32-бітних процесорах. Таке рішення ускладнює аналіз шкідливого коду програмами-отладчиками і ускладнює виявлення цього шифровальщика захисними рішеннями.
Експерти «Лабораторії Касперського» припускають, що в більшості випадків методи розповсюдження вірусу не передбачають яких-небудь активних дій з боку жертви. Зловмисники вираховують сервери зі слабким захистом і вразливим програмним забезпеченням і непомітно для жертви встановлюють вірус-шифрувальник в систему.
«Віруси-вимагачі досі залишаються досить поширеною загрозою. Однак даний екземпляр досить складна і рідкісна різновид. Його унікальність полягає у використанні незвичайної техніки — запуск 64-бітного коду на 32-бітних процесорах, а це сильно ускладнює аналіз шкідливого коду, а також його виявлення захисними рішеннями. За нашими оцінками, у створення такого вірусу було вкладено чимало ресурсів, а це означає, що його автори, швидше за все, захочуть окупити витрачені зусилля. Отже, варто очікувати сплеск числа атак Sodin», – розповів старший антивірусний експерт «Лабораторії Касперського» Федір Синіцин.
Рішення «Лабораторії Касперського» визначають цей вірус як Trojan-Ransom.Win32.Sodin і блокують його активність. Уразливість CVE-2018-8453, яку експлуатує Sodin, раніше використовувала кибергруппировка FruityArmor. Патч для цієї уразливості був створений 10 вересня 2018 року.
Для того, щоб уникнути зараження шифрувальником Sodin, експерти «Лабораторії Касперського» рекомендують:
-
стежити за тим, щоб використовуване ПО регулярно оновлювалися до найновіших версій;
-
не відкривати підозрілі поштові вкладення і не переходити за сумнівними посиланнями, навіть якщо їх надсилають знайомі;
-
використовувати надійні захисні рішення;
-
регулярно робити резервні копії важливих даних, які бажано зберігати окремо (зовнішні носії, хмарні сховища тощо).
Thanks!
Our editors are notified.