Компания ESET - лидер в области проактивного обнаружения - сообщает о волне распространения программ-вымогателей XData, которые продукты ESET обнаруживают как Win32/Filecoder.AESNI.C. Наибольшее количество выявлений за период с 17 по 22 мая зафиксировано среди украинских пользователей — 96%. Пик активности вредоносной программы был обнаружен 19 мая.
Стоит отметить, обновление продуктов ESET, которое позволяет защищать от этой угрозы, было установлено 18 мая.
Впервые специалисты ESET зафиксировали одну из версий этой вредоносной программы Win32/Filecoder.AESNI.A еще 8 декабря 2016 года. Некоторые ключи дешифрования для AESNI.A были недавно опубликованы на форуме BleepingComputer.com.
Исследователи ESET предполагают, что программа-вымогатель Win32/Filecoder.AESNI.C распространилась через украинскую систему автоматизации документооборота, которая широко используется в бухгалтерском учете. Поскольку коэффициент заражения остается низким, киберпреступники могли использовать социальную инженерию, например, обновления вредоносного программного обеспечения. Однако на данный момент исследования продолжаются и об этом еще рано говорить с абсолютной достоверностью.
После заражения компьютера основной файл загружает легитимную системную утилиту SysInternals PsExec, а затем запускает загруженный образец программы-вымогателя.
Также в случае запуска с правами администратора вредоносное программное обеспечение может заражать всю корпоративную сеть. Для получения учетных данных администратора и запуска собственных копий на всех компьютерах в локальной сети угроза использует инструмент Mimikatz.
Стоит отметить, что название вредоносной программы AESNI упоминалась в сообщении о выкупе в одной из предыдущих версий.
Кроме того, название указывает на функционал угрозы, в частности программа-вымогатель проверяет поддержку на инфицированных машинах Advanced Encryption Standard Instruction Set или AES-NI, который XData использует для быстрого шифрования файлов жертвы благодаря аппаратному ускорению.
В связи с опасностью дальнейшего распространения угроз специалисты ESET настоятельно рекомендуют пользователям соблюдать следующие меры предосторожности:
- С целью избежание заражения этой угрозой рекомендуется отделять учетные записи пользователей и администраторов. Поскольку программа-вымогатель XData использует пароли администратора для запуска учетных записей с правами администратора и заражения других компьютеров сети.
- Используйте надежное антивирусное решение с многоуровневой защитой для защиты от подобных угроз в будущем.
- Нужно использовать актуальные обновления операционных систем, антивирусного и другого программного обеспечения.
- Необходимо сохранять резервные копии файлов на удаленном жестком диске или в другом месте, защищенном от сетевого заражения.
- Не следует открывать вложения, присланные в письмах от неизвестных отправителей, а также любые подозрительные вложения от знакомых адресантов.
Больше рекомендаций специалистов ESET для защиты от программ-шифровальщиков можно найти по ссылке.