Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про хвилю поширення програм-вимагачів XData, які продукти ESET виявляють як Win32/Filecoder.AESNI.C. Найбільша кількість виявлень за період від 17 до 22 травня зафіксована серед українських користувачів – 96%. Пік активності шкідливої програми припав на 19 травня.
Варто зазначити, оновлення для продуктів ESET, що дозволяє захищати від цієї загрози, було встановлено 18 травня.
Вперше спеціалісти ESET зафіксували одну з версій цієї шкідливої програми Win32/Filecoder.AESNI.A ще 8 грудня 2016 року. Деякі ключі дешифрування для AESNI.A були нещодавно опубліковані на форумі BleepingComputer.com.
Дослідники ESET припускають, що програма-вимагач Win32/Filecoder.AESNI.C поширилася через українську систему автоматизації документообігу, яка широко використовується в бухгалтерському обліку. Оскільки коефіцієнт інфікування залишається низьким, кіберзлочинці могли використовувати соціальну інженерію, наприклад, оновлення шкідливого програмного забезпечення. Однак на даний момент дослідження продовжуються і про це ще рано говорити з абсолютною достовірністю.
Після інфікування комп'ютера основний файл завантажує легітимну системну утиліту SysInternals PsExec, а потім запускає завантажений зразок програми-вимагача.
Також у разі запуску з правами адміністратора шкідливе програмне забезпечення може інфікувати всю корпоративну мережу. Для отримання облікових даних адміністратора та запуску власних копій на всіх комп’ютерах у локальній мережі загроза використовує інструмент Mimikatz.
Варто зазначити, що назва шкідливої програми AESNI згадувалася у повідомленні про викуп в одній з попередніх версій.
Крім того, назва вказує на функціонал загрози, зокрема програма-вимагач перевіряє підтримку на інфікованих машинах Advanced Encryption Standard Instruction Set або AES-NI, який XData використовує для швидшого шифрування файлів жертви завдяки апаратному прискоренню.
У зв’язку з небезпекою подальшого поширення загроз спеціалісти ESET наполегливо рекомендують користувачам дотримуватися наступних запобіжних заходів:
- Для уникнення інфікування цією загрозою рекомендується відділяти облікові записи користувачів та адміністраторів. Оскільки програма-вимагач XData використовує паролі адміністратора для запуску облікових записів з правами адміністратора та інфікування інших комп’ютерів мережі.
- Слід використовувати надійне антивірусне рішення з багаторівневим захистом для захисту від подібних загроз у майбутньому.
- Потрібно використовувати актуальні оновлення операційних систем, антивірусного та іншого програмного забезпечення.
- Необхідно зберігати резервні копії файлів на віддаленому жорсткому диску або в іншому місці, захищеному від мережевого інфікування.
- Не слід відкривати вкладення, надіслані в листах від невідомих відправників, а також будь-які підозрілі вкладення від знайомих адресантів.
Більше рекомендацій спеціалістів ESET для захисту від програм-шифрувальників можна знайти за посиланням.