Нова хвиля шифрувальників: в полі зору - Sodinokibi

Трояни-шифрувальники залишаються в трійці найбільш розповсюджених видів шкідливого ПЗ, що використовували кібершахраї в 2019 році. Однією з нових «зірок» цієї категорії програм на службі у кіберзлочинців став Sodinokibi.

Особливості Sodinokibi

Новітній шифрувальник використовує вразливості сервера Oracle WebLogic та інші системні вразливості. Але для ініціації шкідливого коду на ПК до нього потрібно спочатку потрапити.

Власне як і в багатьох відомих компаніях зараження, як то епідемія Gang Crab, основним методом доставки шифрувальника до ПК користувачів-жертв є СПАМ-розсилка. Зазвичай такі акції будуються на принципах соціальної інженерії.

Дуже часто, розповсюджувачі заражених листів намагаються змусити отримувачів переглянути зміст вкладення чи перейти за посиланням пишучи в темі листів слова, які можуть бути адресовані до коханої або близької людини, наприклад, зізнання в коханні чи заклик подивитися фото «про вчорашню зустріч». Такий лист важко не прочитати, адже саме на це й розраховували кіберзлочинці.

Також подібні листи можуть містити погрози про наявність компромату на особу яка цей лист читає -  це також один з методів соціальної інженерії. Зазвичай, листи такого характеру, розраховані на те, що людина може спробувати перевірити правдивість слів зловмисників та переглянути вкладений файл, який заражений шкідливим ПЗ.

Як діє Sodinokibi

Перейшовши за посиланням чи відкривши архів вкладений в лист ви ініціювали  автоматичний запуск  JavaScript що стане першим кроком зараження ПК. З великою вирогідністю через деякий час ви побачите що не маєте доступу до файлів на вашому ПК та, власне, не зможете їм користуватися, адже він буде зашифрований та заблокований. А на головному екрані з’явиться повідомлення від кіберзлочинців, де вам досить детально пояснять що відбулось і скільки буде коштувати відновлення інформації. Також для складності відновлення даних Sodinokibi видалить приховані томи даних Windows.

Переважно задля безпеки зловмисники вимагають викуп в Біткоїнах. Для тих хто не має криптовалюти, навіть додається інструкція як її купити та переслати на рахунок зловмисників.

На сьогоднішній день жертвами Sodinokibi стали тисячі приватних осіб та навіть великі приватні організації та об’єкти інфраструктури як то аеропорти та лікарні.

Дотримуйтеся простих правил безпеки

Фахівці антивірусної лабораторії Zillya відзначають, що для захисту від Sodinokibi та інших троянів-вимагачів, варто дотримуватися кількох правил базової безпеки:

1.Не відкривайте листи від невідомих адресатів з вкладеними архівами і текстовими документами

3. Якщо відкрили такий лист не відкривати файли.

4. Видалити такий лист.

5. Не переходьте за посиланнями, що вкладені в «тіло» листа від незнайомих адресатів

6. Користуйтеся антивірусом, як на ПК, так і на мобільному пристрої.

7. Регулярно робіть копії важливої інформації

8. Слідкуйте за оновленнями операційної системи та встановлюйте всі запропоновані оновлення пов’язані з системою безпеки та виправленням уразливостей