Встречайте SyncCrypt: программа-вымогатель без возможности расшифровки

Программа-вымогатель — самый популярный метод атаки для многих черных хакеров. Причины этого очевидны, так как существует множество желающих хостов (также известных как доверчивые пользователи), а выплаты от выкупов часто бывают весьма прибыльными. Имея это в виду, неудивительно, что новые варианты программ-вымогателей появляются с каждым днем. Одной из таких программ-вымогателей, пользующихся популярностью в сообществе исследователей кибербезопасности, является SyncCrypt.

Первоначально идентифицированный исследователем безопасности Emsisoft, xXToffeeXx SyncCrypt представляет собой программу-вымогатель, которая, согласно обширному анализу Лоуренса Абрамса из Bleeping Computer, распространяется через спам-вложения электронной почты, которые представляют собой файлы Windows Script Files (WSF).

Как отмечает Абрамс в своем посте, «использование файлов WSF для распространения вредоносных программ не редкость». Фактически, фирмы по безопасности еще в 2016 году отметили массовый всплеск атак вредоносных программ, в которых использовались файлы WSF. Рассмотрим эти слова из отчета SentinelOne, написанного в ноябре 2016 года о программе-вымогателе Locky:

Как и многие языки сценариев и разработки, файлы сценариев Windows (WSF) могут быть мощным инструментом, если их использовать во благо. К сожалению, когда он оказывается в руках злоумышленника, его можно использовать для создания вредоносных файлов WSF с целью создания вредоносного ПО.

Поскольку файлы WSF являются распространенным методом передачи программ-вымогателей, вы можете подумать, что новые программы-вымогатели, такие как SyncCrypt, будет легко обнаружить и нейтрализовать. Однако, как обнаружил Лоуренс Абрамс, ситуация совершенно противоположная, как он утверждает:

Сценарий WSF загрузит изображения со встроенными ZIP-файлами, содержащими необходимые файлы для заражения компьютера SyncCrypt. Этот метод также сделал образы необнаруживаемыми почти всеми поставщиками антивирусов на VirusTotal.

Хуже того, как только SyncCrypt шифрует файлы вашей системы с помощью AES, становится недоступным метод дешифрования (вероятно, это связано с новизной программы-вымогателя). При тотальном заражении и шифровании вас встречает следующее сообщение:

На момент написания этой статьи затронуты следующие расширения файлов:

Пока SyncCrypt не получит метод расшифровки, и даже когда он это сделает, лучшей защитой от этой программы-вымогателя будет здравый смысл. Не открывайте электронные письма или вложения из неизвестных источников. Всегда помните о том, что ваши личные контакты могут быть взломаны и выданы за вас с целью распространения программ-вымогателей. Исправьте все уязвимости как на стороне клиента, так и на стороне сервера в вашей сети, как только эти исправления будут выпущены. Убедитесь, что у вас есть эффективный брандмауэр, антивирус и любые другие IDS, которые вы считаете нужными.

Оставайтесь там в безопасности.