Что делать при атаке вируса-вымогателя Troldesh

В конце июня фирма Group-IB, борющаяся с киберпреступностью, объявила о следующей волне глубоких атак на российские фирмы со стороны шифровального микроба Тролдеша. Таким образом, количество микробных атак, связанных с июнем, более точно превысило все атаки, связанные с 2018 годом, и хакерская кампания в настоящее время активна. В рамках кампании злоумышленники отправляют фишинговые сообщения от названий авиакомпаний, автосалонов и СМИ. Стоит отметить, что новая версия Troldesh была обучена майнингу криптовалют, генерированию трафика на сторонние сайты и открытому бухгалтерскому программному обеспечению. DeCenter поговорил с адептами Group-IB, Лаборатории Касперского и др. Интернета о том, угрожает ли Тролдеш держателям криптовалют и как спасти свою собственность и компьютер от злодеев.

Чем Troldesh страшен и как он работает

Тролдеш (он же троянец.Кодировщик.858, XTBL, Shade, crypted000007, Da Vinci, No_more_ransome) пользуется популярностью с 2015 года и считается одним из самых популярных шифровальных микробов. Есть много людей, которые хотят получить с его помощью поддержку — он активно продается и сдается в аренду в даркнете. Тролдеш более распространен в России, США, Стране кленового листа, Стране восходящего солнца, Индии, Таиланде. В этом случае микроб постоянно модернизируется, и антивирусные фирмы с трудом поспевают за всеми конфигурациями.

Адепты Group-IB рассказали, что только в июне они обнаружили 1100 зараженных сообщений. Только из-за 2-го квартала 2019 года было отправлено 6000 заказов, как бы в 2,5 раза больше, чем за весь 2018 год. «Лаборатория Касперского», которая, если еще и отслеживает рост числа атак, Тролдеш в соответствии с сопоставлением с прошлыми месяцами. Из-за 2-го квартала 2019 года фирма более тщательно зафиксировала 6248 таких атак на компьютеры пользователей. А компания Avast в 2019 году заблокировала самые 100 000 атак со стороны Troldesh, в том числе самые 20 000 атак на пользователей Avast из Российской Федерации. Специалисты отслеживают эту солидную вредную кампанию с октября 2018 года.

Тролдеш передается через фишинговые сообщения, программное обеспечение Corsair в интернете, социальные сети и мессенджеры. В списке рассылки используется платный ботнет-сеть зараженных компьютеров и устройств Интернета вещей. После перезагрузки зараженного компьютера хакеры получают к нему доступ. Применяя целостность систем безопасности, микроб шифрует все файлы на устройстве и просит выкуп из-за их расшифровки. Микроб работает на эллиптическом кодировании-ключ чрезмерно возбужден, и только хакер понимает это. Те. выводы по подбору ключа к шифру до сих пор отсутствуют (единственные, кто претендует на способность расшифровывать-вероятно. Интернет).

Стандарт закона Тролдеша. Источник.

В октябре 2018 года микроб стал более активно использоваться в глубоких атаках на российские фирмы: тогда сообщения отправлялись из банков «Бинбанк», «изобретение», «Газпромбанк», «Филип Моррис», «Всероссийский банк формирования территорий». В марте 2019 года хакеры изменили свою стратегию и начали распространять сообщения от лица узнаваемых брендов: «категория компаний ПИК»,» КИА Моторс», Metro,» Ашан»,» Магнит», «Дикси» и других. Сообщения были отправлены пострадавшим на интернет-сайте, с которого началась инфекция.

Стандартные фишинговые сообщения с Тролдешем. Источник.

Что такого страшного в новой трансформации Troldesh?

В последней волне атак в июне хакеры снова используют бот-сеть,но они уже исправили отправителей. На данный момент хакеров изображают такие фирмы, как «противоположные авиалинии», «Рольф», РБК, Новониколаевск-онлайн и другие. В сообщении они требуют открыть файл с поддельным приложением, которое выбрасывает микроб.

Group-IB рассказала о последней волне атак на шифровальный микроб. Источник.

На данный момент Troldesh имеет только часть самого большого вредоносного пакета, который не только шифрует файлы зараженного компьютера, но и позволяет использовать его в других вредоносных целях. Детали загружаются с зараженных веб-страниц или через Tor.

По данным этой группы-IB, впервые функции криптоджекера-скрытого майнера криптовалют-появились в Тролдеше в октябре прошлого года, а по данным avast — еще 2 года назад. Как сообщают две фирмы, в экстремальных трансформациях Troldesh используется для майнинга неизвестной монеты zcash с программной поддержкой с явным начальным кодом перед названием Nheqminer. В Avast рассказали, что микроб использует Wotan и тот же адрес кошелька с 25 июля 2017 года. Из-за этого времени он получил 5 зеков-предположительно 500 долларов. В «Лаборатории Касперского» нет консолидированной версии cryptogamia.

Вот если бы еще новоиспеченный в экстремальной трансформации микроб:

  • Микроб научился сам распространяться с зараженного компьютера, создавая свою собственную сеть майнинга;
  • Он генерирует трафик на сторонние веб-сайты, давая хакерам возможность получить больше маркетинговых средств;
  • Микроб обладает способностью применять непогрешимость в любимых CMS интернет-страницах, беря на себя их вредные экземпляры. В эпизоде последующей фишинговой рассылки загрузчик будет скачивать очередной вредоносный экземпляр с 1-й из таких открытых интернет-страниц, как будто это позволяет гарантировать некий неконтролируемый Тролдеш;
  • Если зараженный компьютер имеет бухгалтерские программы, то микроб берет дополнительное программное обеспечение для удаленного доступа к ним. При его поддержке негодяи производят пробу средств со счета атакованной организации.

Чем микроб страшен для держателей криптовалют

Криптограф вдвойне страшен для держателей криптовалют. «У хакеров есть все шансы получить доступ к этим атакованным компьютерам и украсть этот доступ к кошелькам. Даже если у пострадавших не было копии этих данных доступа к собственным кошелькам, то после кодирования компьютера доступ к криптовалюте может быть утерян«,-говорит Ярослав Каргалев, заместитель управляющего CERT-GIB.

Тролдеш-наверное, ни одного микроба, страшного для криптодержателей. Хакеры уже давно используют микробы не только для кражи этих и других лекарств, но и для криптовалют. «1 из популярных банковских троянов для этого эпизода-RTM, владеет функциями поиска указателей, которые имеют все шансы указать криптовалютную энергию на атакованном компьютере и очередную кражу всего этого, связанную с этой энергией«,-говорит Ярослав Каргалев, заместитель управляющего CERT-GIB.

«Определенные категории вымогателей сосредоточились на кодировании так называемых файлов кошельков, чтобы впоследствии пострадавшая сторона никак не могла управлять своими собственными криптовалютными активами. Другие вредоносные программы используют RAT (Remote access Trojan) и backdoor«, — рассказал Якуб Крустек, руководитель лаборатории анализа рисков Avast.

Приверженцы «Лаборатории Касперского» рекомендовали опасаться стиллеров (программ, крадущих пароли и счета), банкиров (притворяющихся безопасными или банковскими дополнениями), в том числе клипбанкеров (заменяющих адреса кошельков в обменном буфере).

Лучшая защита-это энергичный антивирус, профилактика и резервное копирование

Компьютерные микробы так же похожи на жизнь — их легче предотвратить, чем вылечить. Лидеры осторожности понимают все, но они не соблюдают это постоянно. Любимые способы борьбы с криптографами встречаются довольно часто:

  • Время для работы над запасным экземпляром (в совершенстве на внешнем держателе);
  • Ни в коем случае не разглашайте подозрительные сообщения и не переходите по неподходящим гиперссылкам, в том числе если они отправлены друзьями или известными компаниями;
  • Используйте оптимистичные версии антивирусного программного обеспечения и лицензионного программного обеспечения;
  • Ни в коем случае не загружайте и не используйте программное обеспечение Corsair;
  • Чтобы использовать сложные пароли для ваших учетных записей.

Если резервная копия находится в «облаке», она должна иметь ведро-микроб может отключить исходные файлы, изменить их зашифрованными, затем они синхронизируются и источники исчезнут.

Специалисты антивирусных компаний рекомендуют вам постоянно устанавливать окончательную лицензионную версию антивируса. Приверженцы Антивируса Касперского, Dr. the Internet и Avast утверждают, что их продукты хорошо известны с помощью Тролдеша, в том числе экстремальных преобразований, и будут блокировать его. Они увидят антивирус и никак не позволят ему запуститься.

Нынешняя модульная структура Troldesh говорит о том, что хакеры активно работают над микробом и совершенствуют его. Поэтому в том числе и самый экстремальный антивирус никак не заслуживает расслабления — он полностью дарует вам новое преображение. Благоразумие — лучший помощник.

Как работать, если компьютер заражен микробом? Можно ли расшифровывать зараженные файлы?

Приверженцы «Лаборатории Касперского» и Avast считают, что пока способов избавиться от зашифрованных файлов недостаточно. В Лаборатории Касперского есть бесплатная утилита Shade Decryptor, но она поддерживает только противоположность более ранним версиям криптографа.

В прессе работы доктора Интернета было сказано, что антивирус обладает способностью помогать расшифровывать зараженные файлы, в том числе и экстремальные трансформации микроба. Компания предоставляет бесплатный транскрипт (при отсутствии залога) для лицензированных пользователей. Также разрешено писать в чат-бота и помогать работать, отправлять микроба на диагностику или писать неоплачиваемый тест.

«Тролдеш немного отличается от основной массы вымогателей в настоящее время, так как он остается функциональным на зараженных устройствах, в том числе и после кодирования файлов. Другие микробы традиционно пытаются отключить все свои собственные отпечатки пальцев и оставить только зашифрованные файлы и новости о выкупе. Поэтому пользователям сначала необходимо протестировать и отбелить зараженное устройство с помощью поддержки антивирусной программы. Тогда, в самом совершенном варианте, пострадавшая сторона сможет вернуть файлы из резервной копии«, — сказал Якуб Крустек.

Если вы все-таки действительно стали жертвой вымогателя, специалисты не советуют вам вступать в разговор со злодеями и платить за них выкуп — залог расшифровки этих данных отсутствует. «Лучше вытащить жесткий диск или сделать с него цифровую копию: часто через некоторое время в махинациях появляются дешифровщики, и их можно будет вернуть«, — посоветовал Ярослав Каргалев.

Пытаться вылечить компьютер без помощи других все равно не стоит — вы сможете ухудшить ситуацию. Нет необходимости переустановить ОС, изменить продолжение зашифрованных файлов или удалить папки с мимолетными файлами. Если вы столкнулись с микробом, то лучше более точно определить свои собственные действия с помощью антивирусных специалистов, которых вы используете.

bit44.org

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ