Fabiansomware: когда хакеры теряют контроль

blog_main_apocalypse

Кибер-преступления существуют с самого начала Интернета. Тем не менее, 2016 год можно без натяжки назвать годом программ-вымогателей. Новые семейства программ-вымогателей появляются каждую неделю, а специалисты лаборатории Emsisoft  сражаются с ними ежедневно на передовой вредоносного программного обеспечения.

В результате в нашу лабораторию постоянно поступают угрозы и оскорбления от авторов программ-вымогателей. Как, например, несколько месяцев назад, когда мы взломали любительский код семейства программ-вымогателей под названием Apocalypse. Недавно вражда приняла личный характер, и ее объектом стал Фабиан, технический директор нашей компании и глава лаборатории Emsisoft по исследованию вредоносного программного обеспечения. Оскорбительные комментарии были вставлены в код программы Apocalypse. Авторы даже переименовали последнюю версию своего вредоносного ПО в честь Фабиана, назвав его ‘Fabiansomware’.

slack-imgs-2-com

 Так почему же мы стали мишенью?

В мире онлайн Фабиан – известная личность. Он предоставляет рекомендации по безопасности систем пользователей и делится решениями по дешифрованию.  В компании Emsisoft он – глава лаборатории по изучению вредоносных программ. Он и его команда изучают новые угрозы, разрабатывают новые и обновляют существующие технологии защиты, обеспечивая безопасность наших пользователей от действующих и потенциальных угроз вредоносного ПО.

С чем связан переход на личности?

В июне 2016 года мы опубликовали статью о том, как специалисты нашей лаборатории взломали три варианта Apocalypse и представили бесплатный дешифратор для всех жертв Apocalypse. После этого наши эксперты взломали 6 новых вариантов программы.

slack-imgs-com

В настоящее время авторы вредоносного программного обеспечения постоянно меняют свои программы в попытке оказаться на шаг впереди нашей лаборатории и других специалистов, занимающихся взломом программ-вымогателей. Сегодня нам требуется всего час или два для того, чтобы взломать новый вариант программы. И поток оскорблений не иссякает.

Текст оскорблений порой настолько неприличный, что мы не будем делиться им здесь. Желающие могут увидеть их в Твиттере Фабиана.

Особая любовь разработчиков Apocalypse к главе нашей лаборатории настолько огромна, чтодля своего последнего варианта адресом электронной почты был выбран [email protected]

Очевидно, их идея заключается в том, чтобы обвинить Фабиана в создании нового варианта программы. В какой-то степени это сработало, как можно увидеть из разговора Фабиана с одной из жертв данной программы-вымогателя.

Немного об Apocalypse

Программа-вымогатель Apocalypse  впервые появилась 9 мая 2016 года и нацелена на небезопасно настроенные сервера под управлением Windows, использующие слабые пароли и имеющие запущенную службу удаленного рабочего стола.

Это позволяет атакующему использовать атаку методом перебора для получения доступа, что означает, что он может запросто взаимодействовать с системой, как если бы у него был физический доступ к компьютеру. Использования протокола удаленного рабочего стола стало все чаще встречаться в последнее время, особенно для запуска программ-вымогателей, таких как Apocalypse.

Ранние варианты вымогателя устанавливались в папку %appdata%\windowsupdate.exe и создавали ключ запуска windows update в разделах реестра HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Этот вариант использует расширение .encrypted. Затем для каждого файла создается уведомление с требованиями в формате *имя файла*.How_To_Decrypt.txt. Для связи используются следующие адреса [email protected]/[email protected]/[email protected]/[email protected]

В начале июня была обнаружена другая версия Apocalypse. Этот вариант использует другую папку,создает другой ключ запуска и другие адреса электронной почты. Вымогатель устанавливается в папку%ProgramFiles%\windowsupdate.exe, и создает ключ запуска под названием windows update svc. Для контакта используется адрес электронной почты [email protected]

К концу месяца, 22 июня, появился новый вариант программы, в котором оказалось значительно больше изменений. Вместо использования названия windowsupdate в имени используется firefox. Данная версия устанавливается в папку %ProgramFiles%\firefox.exe,затем создает ключ запуска firefox update checker. Также используется новое расширение “.SecureCrypted” и новое имя для уведомления с требованиями *имя файла*.Contact_Here_To_Recover_Your_Files.txt. Для связи используется адрес электронной почты [email protected]

Специалисты нашей лаборатории продолжают взламывать новые варианты вредоносного ПО.

slack-imgs-1-com

Что вы можете сделать

Самая основная линия защиты – это надежная политика использования паролей для всех учетных записей пользователей с удаленным доступом к системе. Это также касается редко используемых учетных записей, созданных для целей тестирования.

Apocalypse и многие другие семейства, распространяемые через протокол службы удаленного рабочего стола (RDP). Если вы – владелец небольшой фирмы или даже крупной компании, убедитесь, что порты RDP и службы удаленного контроля закрыты.

Еще лучше было бы совсем отключить удаленный рабочий стол или службы терминалов, если они не используются, или, по крайней мере, использовать ограничение доступа по IP-адресам, чтобы разрешить доступ к данным службам только из надежных сетей.