Троян-шифровальщик напал на госсектор и медучреждения. Даже если заплатить выкуп, данные не восстановятся

, Текст: Роман Георгиев

Вымогательская программа ProLock атакуетсферы здравоохранения, финансов и государственные организации. Чем крупнеежертва, тем выше требования выкупа. При этом дешифратор, скорее всего, несработает.

Считать потерянными

Федеральное бюрорасследований США (ФБР) опубликовало предупреждение об участившихся атаках состороны шифровальщика ProLock, терроризирующего торговый, финансовый,правительственный сектор, а также организации в сфере здравоохранения. Хужевсего то, что инструмент для дешифрования ProLock не работает, так что зашифрованные им данныеможно считать безвозвратно потерянными.

Как указывается в сообщенииФБР, любые файлы размером больше 64 МБ, будут повреждены при дешифровке. Вфайлах размером более 100 МБ теряется по одному байту на каждый килобайт. Длякорректной работы дешифратора его еще и требуется донастраивать. Так что дажеесли организации поддались на требования вымогателей, длительный простой имгарантирован.

Любопытно, что у авторов ProLocker с дешифровкой незадается с самого начала. Шифровальщик, сперва называвшийся PwndLocker, появился вовторой половине 2019 г. Основными его целями были деловые и правительственныеорганизации, причем размер требуемого выкупа прямо зависел от размеровскомпрометированной сети.

haker600.jpg

Шифровальщик требует крупный выкуп, но не дает расшифровать данные

Однако довольно быстровыяснилось, что в коде программы присутствует ошибка, так что расшифроватьфайлы было возможно без всяких выплат. Разработчики это исправили,переименовали шифровальщик в ProLocker и начали наращивать активность.

С троянцем на пару

По данным Group-IB, создатели ProLock заключили партнерство с операторами банковскоготроянца QakBot,что послужило более активному распространению вредоноса. Троянец неустанавливает непосредственно шифровальщик, но запускает серию скриптов,которые помогают операторам проникнуть в интересующую их сеть и осуществитьразведку ее структуры. Эти скрипты извлекаются из файла BMP или JPG под названием WinMgr и загружаются в память.

Операторы ProLock некоторое время ищутнаиболее важные для атакованной компании системы и данные. Прежде чем запуститьшифрование, злоумышленники выводят данные с помощью Rclone — инструмента для синхронизации с различнымиоблачными ресурсами, работающего через командную строку. Кроме того,злоумышленники могут использовать для проникновения в сети RDPили украденные логины и пароли. Все доступныерезервные хранилища шифруются или их содержимое уничтожается, чтобы не оставитьжертвам возможности восстановить данные без выплаты требуемых ресурсов.

Далее происходитстандартное: предъявляются требования выкупа, плюс злоумышленники обещаютвыложить данные в открытом доступе, если им не выплатят всю сумму. Размерывыкупа оказываются в пределах $175-660 тыс.

«Очевидно, что резервныехранилища, с постоянным подключением — слабая защита от подобных атак. От шифровальщикамогут помогать только “холодные” бэкапы, где у вредоноса нет возможностивыполнять свои операции, — говорит АнастасияМельникова, эксперт по информационной безопасности компании SECConsultServices. — В любом случаеатаки шифровальщиков, как пожар, легче предотвратить, чем потушить: несмотря навсю изобретательность злоумышленников, принципы первичного проникновенияостаются одними и теми же. Например, QakBot, который служит проводником для ProLocker, распространяетсясо спамом. И следовательно, необходимо, чтобы работники организации —потенциального объекта атаки — знали об этом и знали как распознаватьвредоносную корреспонденцию, даже если она выглядит вполне убедительно».


СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"