Познакомьтесь с Anatova: первый шифровальщик 2019 года грозит далеко пойти

Опубликовано at 14:07
57 0

Эксперты компании McAfee предупредили о новом зловредном семействе Anatova, объединяющем в себе целый комплекс угроз. Хотя на текущий момент этот зловред «всего лишь» продвинутый шифровальщик, он устроен по модульной структуре, то есть в любой момент по желанию разработчиков к нему можно добавить одну или несколько «специализаций».

Anatova был найден в одной из торрент-сетей, где вредонос маскировался под игры и приложения. Зловреда выпустили в сеть под звон курантов, 1 января 2019 года. За этот неполный месяц Anatova уже успел поразить множество пользователей в США, Бельгии, Великобритании, Германии, Франции и нескольких других странах.

Устройство вируса, по мнению McAfee показывает, что мы имеем дело с матерыми хакерами. В пользу этого свидетельствует сильное шифрование кода, использование уникальных ключей для каждого отдельного образца Anatova. Троян весит всего 32 килобайта, но умеет обнаруживать виртуальное окружение, удалять теневые копии томов, добираться до сетевых хранилищ.

Когда вирус попадает на ПК, он запрашивает права администратора, после чего запускает несколько проверок. К примеру, разработчики составили список с именами учетных записей, использующихся по умолчанию на виртуальных машинах. Если Anatova обнаруживает такую учетную запись, он завершает работу.

Далее зловред уточняет используемый на компьютере язык, причем он проверяет первый выбор пользователя при установке ОС. Троян не атакует жертв в странах СНГ (кроме России), Египте, Индии, Ираке, Марокко и Сирии. Наконец троян проверяет настройку, которая отвечает за загрузку библиотек extra1.dll и extra2.dll. По словам исследователей, это и есть дополнительные модули, которые могут расширить вредоносный потенциал Anatova. Пока предсказать их нагрузку невозможно, но скорее всего это бэкдор или кража данных.

В отличие от других шифровальщиков, Anatova избегает системных директорий и на самом деле не трогает критически важные файлы, а также оставляет требование выкупа только в тех папках, где находит пригодные для блокировки данные (и не шифрует файлы больше 1 Мб). За расшифровку преступники просят 10 DASH (около 47 тыс. рублей по курсу на день публикации).

По окончании своего черного дела вредонос запускает утилиту vssadmin, которая удаляет теневые копии томов, лишая жертву возможности восстановить данные. Именно для этого Anatova изначально просит права администратора. Чтобы гарантированно уничтожить все резервные копии, зловред выполняет команду 10 раз подряд. Полностью оценить потенциал Anatova специалисты по кибербезопасности смогут, когда станет понятно предназначение его дополнительных модулей.

Читайте также на АКБ:

Раскрыта тайна проникновения шифровальщика JungleSec: он заражал интерфейсы IPMI

Хорошо забытое вирусное: как WannaCry может стать бомбой, что взорвет интернет в 2019-м

Трижды разбитое сердце: спам-кампания Love You дарит Windows спамбота, майнера и вымогателя

Подписываемся, следим @CyberAgency

Related Post

Цифровизация по-русски: бюджет на кибербезопасность до 2020 года сократили втрое

Опубликовано - 21.06.2018 0
CNews изучил план мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» и структуру соответствующих затрат. Оказалось, что после рецензии на…

Добавить комментарий