Познакомьтесь с Anatova: первый шифровальщик 2019 года грозит далеко пойти

Опубликовано at 14:07
58 0

Эксперты компании McAfee предупредили о новом зловредном семействе Anatova, объединяющем в себе целый комплекс угроз. Хотя на текущий момент этот зловред «всего лишь» продвинутый шифровальщик, он устроен по модульной структуре, то есть в любой момент по желанию разработчиков к нему можно добавить одну или несколько «специализаций».

Anatova был найден в одной из торрент-сетей, где вредонос маскировался под игры и приложения. Зловреда выпустили в сеть под звон курантов, 1 января 2019 года. За этот неполный месяц Anatova уже успел поразить множество пользователей в США, Бельгии, Великобритании, Германии, Франции и нескольких других странах.

Устройство вируса, по мнению McAfee показывает, что мы имеем дело с матерыми хакерами. В пользу этого свидетельствует сильное шифрование кода, использование уникальных ключей для каждого отдельного образца Anatova. Троян весит всего 32 килобайта, но умеет обнаруживать виртуальное окружение, удалять теневые копии томов, добираться до сетевых хранилищ.

Когда вирус попадает на ПК, он запрашивает права администратора, после чего запускает несколько проверок. К примеру, разработчики составили список с именами учетных записей, использующихся по умолчанию на виртуальных машинах. Если Anatova обнаруживает такую учетную запись, он завершает работу.

Далее зловред уточняет используемый на компьютере язык, причем он проверяет первый выбор пользователя при установке ОС. Троян не атакует жертв в странах СНГ (кроме России), Египте, Индии, Ираке, Марокко и Сирии. Наконец троян проверяет настройку, которая отвечает за загрузку библиотек extra1.dll и extra2.dll. По словам исследователей, это и есть дополнительные модули, которые могут расширить вредоносный потенциал Anatova. Пока предсказать их нагрузку невозможно, но скорее всего это бэкдор или кража данных.

В отличие от других шифровальщиков, Anatova избегает системных директорий и на самом деле не трогает критически важные файлы, а также оставляет требование выкупа только в тех папках, где находит пригодные для блокировки данные (и не шифрует файлы больше 1 Мб). За расшифровку преступники просят 10 DASH (около 47 тыс. рублей по курсу на день публикации).

По окончании своего черного дела вредонос запускает утилиту vssadmin, которая удаляет теневые копии томов, лишая жертву возможности восстановить данные. Именно для этого Anatova изначально просит права администратора. Чтобы гарантированно уничтожить все резервные копии, зловред выполняет команду 10 раз подряд. Полностью оценить потенциал Anatova специалисты по кибербезопасности смогут, когда станет понятно предназначение его дополнительных модулей.

Читайте также на АКБ:

Раскрыта тайна проникновения шифровальщика JungleSec: он заражал интерфейсы IPMI

Хорошо забытое вирусное: как WannaCry может стать бомбой, что взорвет интернет в 2019-м

Трижды разбитое сердце: спам-кампания Love You дарит Windows спамбота, майнера и вымогателя

Подписываемся, следим @CyberAgency

Related Post

Россия готова вместе с США создать рабочую группу по кибербезопасности

Опубликовано - 05.12.2017 0
Москва готова организовать совместную российско-американскую рабочую группу по кибербезопасности, заявил посол России в США Анатолий Антонов. Это, по его словам,…

Кто взломал Мексику: призрак Русского Хакера бродит по могиле Троцкого накануне выборов

Опубликовано - 29.06.2018 0
Мексиканские медиа обвинили Россию в попытке заDDoSить сайт Партии национального действия накануне всеобщих выборов 1 июля. По мнению правоохранительных органов…

Святая лысина продавала ботнет «Ярость Господня» под видом уровней для GTA

Опубликовано - 19.02.2018 0
Компьютерная игрушка GTA продолжает поставлять беспредел в виртуальный мир, уже без контроля создателей. Группировка хакеров под названием San Calvicie, что…

Добавить комментарий