Новую любопытную тактику обхода кибердозорных по системе продемонстировал вымогатель Snatch.
Шифровальщик попросту перезагружает Windows в безопасный режим, после чего начинается процесс шифрования файлов. Дело в том, что большинство антивирусных программ не запускаются в безопасном режиме Windows, а значит, сумев запустить этот режим, половину вопроса злоумышленник уже решил.
Sophos Labs сообщают, что разработавшие Snatch киберпреступники используют специальный ключ в реестре Windows, позволяющий перезапустить операционную систему в безопасном режиме.
В ноябре стало известно о первом крупном улове вымогателя: его атаке подвергся крупный провайдер ASP.NET, компания SmarterASP.NET, обслуживающая более 440 000 клиентов, в минувшие выходные поверглась атаке вымогателя. В результате все данные на серверах клиентов оказались зашифрованы.
Представители SmarterASP.NET уверяют, что уже работают над восстановлением данных пользователей, но неясно, заплатила ли компания выкуп злоумышленникам или восстановление производится из резервных копий. Зашифровано оказалось все, включая файлы сайтов и базы данных.
Хотя большинство пользователей использовали SmarterASP.NET для размещения ASP.NET ресурсов, некоторые также доверили серверам компании бэкэнд своих приложений, где происходила синхронизация или резервное копирование важных данных. В итоге, из-за того что БД бэкэндов тоже пострадали, многие клиенты не имеют возможности перенести пострадавшие сервисы на альтернативную инфраструктуру.
Стоит заметить, что атака затронула не только информацию клиентов, но и инфраструктуру самого провайдера. Так, сайт компании был недоступен на протяжении всей субботы и лишь недавно вернулся в строй. Судя по всему, полное восстановление может занять у специалистов SmarterASP.NET несколько недель.
Читайте также на АКБ:
