La o săptămână după lansarea globală a lui WannaCryptor, cunoscut și sub numele de WannaCry, un alt ransomware a apărut la orizont.

Detectată de ESET ca Win32/Filecoder.AESNI.C și cunoscută și sub numele de ransomware XData, amenințarea a fost răspândită în special în Ucraina, cu 96% din totalul detectărilor între 17 mai și 22 mai și punctul de vârf vineri,19 mai. ESET și-a protejat clienții împotriva acestei amenințări începând cu data de 18 mai.

Cu toate acestea, a fost urmărit malware-ul începând din 8 decembrie 2016, când a apărut pentru prima dată versiunea Win32/Filecoder.AESNI.A. Pentru varianta AESNI.A, unele dintre cheile de decriptare au fost publicate recent pe un forum de la BleepingComputer.com.

Pe baza cercetărilor efectuate de către ESET, se pare că ransomware-ul a fost distribuit printr-un sistem ucrainean de automatizare a documentelor utilizat pe scară largă în contabilitate. Deoarece raportul cu privire la infectare este încă scăzut, un scenariu posibil în ceea ce privește distribuția implică un tip de inginerie socială - de ex. prin conectarea la o actualizare a software-ului malițios - totuși, este încă devreme să spuneți acest lucru cu o certitudine absolută.

Odată ce infectează un computer, fișierul principal aruncă un utilitar legitim de sistem - SysInternals PsExec - și apoi execută un eșantion de ransomware abandonat (Win32/Filecoder.AESNI.C.).

Dacă este rulat cu privilegii de administrare, ransomware-ul poate infecta o întreagă rețea. Pentru a face acest lucru, utilizează instrumentul Mimikatz pentru a extrage acreditările de administrator și apoi le folosește pentru a rula o copie a acestuia pe toate computerele din rețeaua internă.

Dacă sunteți interesat de motivul pentru care amenințarea este numită AESNI, este derivată din nota de răscumpărare introdusă de una dintre variantele sale anterioare:

Mai mult decât atât, există și o funcționalitate în spatele numelui - ransomware-ul verifică dacă mașina afectată suportă Setul de Instrucțiuni Standard pentru Criptare Avansată, sau altfel spus AES-NI. În acest caz, îl folosește pentru a cripta datele victimelor mai rapid cu ajutorul accelerației hardware.

Cum să rămâneți în siguranță

În special în acest caz, separarea conturilor de administrator și de utilizator ar preveni o mare parte a daunelor, deoarece ransomware-ul XData utilizează în mod abuziv parolele de administrator dacă este rulat pe conturi cu privilegii de administrare. Fără privilegii de administrare, XData poate infecta doar un singur computer, în loc de întreaga rețea.

Câteva sfaturi generale cu privire la ce puteți face pentru a vă proteja împotriva celor mai multe tipuri de ransomware:

• Utilizați o soluție de securitate fiabilă care utilizează mai multe straturi pentru a vă proteja de amenințări similare și în viitor.
• Asigurați-vă că actualizați în mod regulat sistemul de operare și efectuați patch-uri pentru acesta.
• Păstrați copii de rezervă ale fișierelor pe un hard disk extern sau într-o locație ce nu va fi afectată în cazul unei infecții de rețea.
• Nu faceți niciodată clic pe atașamente și link-uri din e-mailuri suspecte sau neașteptate.

ANTON CHEREPANOV

CORESPONDENT INDEPENDENT