Все мы хорошо знаем, что программы-вымогатели являются наиболее опасным типом вредоносных программ за последние годы. Когда пользователь заражается им, все его личные файлы шифруются алгоритмом, который практически невозможно взломать. Однако теперь исследователи безопасности обнаружили новую программу-вымогатель, с помощью которой любой может взломать компьютер зрителей в TeamViewer.
Программы-вымогатели - самый опасный вид вредоносного ПО за последние годы. Когда пользователь заражается им, все его личные файлы шифруются с помощью алгоритма, который практически невозможно взломать, и позже их просят заплатить «выкуп» за восстановление файлов или, в противном случае, всех файлов будет потеряно.
Наиболее распространенные способы распространения программ-вымогателей - это вредоносные рекламные кампании, наборы эксплойтов или электронная почта, хотя форма распространения новой программы-вымогателя, известная как Surprise, привлекла внимание как пользователей, так и исследователей безопасности. сюрприз.
Surprise, имя, которое получило эту программу-вымогатель для расширения, которое она добавляет ко всем зараженным файлам, - это новая программа-вымогатель, впервые обнаруженная 10 марта несколько антивирусных сигнатур, разработанных на основе бесплатного проекта EDA2, открытого кода вымогателя, который был опубликован в образовательных целях, но, как всегда, используется для зло.
Как следует из названия, эта программа-вымогатель стала неожиданностью для всех пользователей. Жертвы того же самого обнаружили, что внезапно, с одного дня на другой, все их файлы были кодифицировано добавлением расширения «.surprise» ко всем фотографиям, документам и личным файлам системы. После завершения заражения вредоносная программа оставляет на рабочем столе 3 файла с необходимыми инструкциями по их восстановлению. Автор этой программы-вымогателя скрывается за двумя учетными записями электронной почты, одна в ProtonMail, а другая в Sigaint.
Эта программа-вымогатель использует алгоритм AES-256 для шифрования файлов с помощью главного ключа RSA-2048, который хранится на сервере удаленного управления. Эта вредоносная программа способна обнаруживать 474 различных формата файлов, чтобы зашифровать их, безопасно удалить и предотвратить их восстановление. через резервные копии, если они не хранятся идентично на внешнем устройстве, отключенном от компьютера во время инфекционное заболевание.
Чтобы восстановить файлы, хакер запрашивает платеж в размере 0,5 биткойна, что составляет около 786,25 доллара США, однако, в зависимости от тип и количество файлов, которые были зашифрованы, платеж может составлять 25 биткойнов, около $393124.88.
Неизвестно, как хакеру удалось подключиться к серверам TeamViewer для распространения Surprise. Сама программа-вымогатель неудивительна, поскольку примерно такая же, как и любая другая. Однако самое любопытное в этом способе заражения пользователей.
Хотя поначалу не было ничего ясного, по мере увеличения числа жертв можно было наблюдать закономерность, и все они установили инструмент удаленного управления TeamViewer в свои системы. Анализируя записи этого инструмента, все жертвы смогли увидеть, как неавторизованный пользователь подключился к их компьютеров, загрузили файл под названием «сюрприз. exe» (программа-вымогатель) и запустили его вручную, что привело к инфекционное заболевание.
На данный момент неизвестно, как хакеру удалось удаленно подключиться к компьютерам жертв, хотя есть два возможных варианта: -
Первый, хотя и немного сложный, заключается в том, что у пирата есть уязвимость нулевого дня, которая позволяет ему / ей удаленно подключаться к любому серверу TeamViewer. Сотрудники службы безопасности TeamViewer проверили свой инструмент после первого заражения и убедились, что это невозможно, что приводит ко второму варианту.
Второй и, вероятно, более вероятный, заключается в том, что он использует инструмент сетевого сканирования для обнаружения любых подключенных Сервер TeamViewer и, как следствие, получает доступ к системам своих жертв с помощью грубой силы атаки.
Обе охранные компании, такие как Bleeping Computer и сотрудники службы безопасности TeamViewer, изучают дело, чтобы избавиться от него. Свет о том, как хакер мог распространять эту новую программу-вымогатель с помощью этого пульта дистанционного управления инструмент.
В соответствии с рекомендациями TeamViewer, если мы хотим избежать сюрпризов, рекомендуется защитить сеансы TeamViewer с помощью сложного пароля, активировать двойную аутентификацию, обновите сервер до последней версии и, наконец, убедитесь, что компьютерная атака не исходит из какой-либо другой ветви (например, другое вредоносное ПО, установленное в система).
Лица, ответственные за этот инструмент дистанционного управления, также рекомендуют всем жертвам обратиться в соответствующие службы. отделений полиции, чтобы подать заявление и быть в состоянии помочь, насколько это возможно, идентифицировать тех ответственный.
Также рекомендуется не платить, потому что, даже если мы это сделаем, у нас нет гарантии на восстановление наших файлов, особенно если последние эхо-запросы к серверу C&C не дали ответа.
Что вы думаете об этой новой программе-вымогателе и способах заражения? Просто поделитесь всеми своими взглядами и мыслями в разделе комментариев ниже.