Програма-вимагач XData атакує українських користувачів

Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про хвилю поширення програм-вимагачів XData, які продукти ESET виявляють як Win32/Filecoder.AESNI.C. Найбільша кількість виявлень за період від 17 до 22 травня зафіксована серед українських користувачів – 96%. Пік активності шкідливої програми припав на 19 травня.

Варто зазначити, оновлення для продуктів ESET, що дозволяє захищати від цієї загрози, було встановлено 18 травня.

Вперше спеціалісти ESET зафіксували одну з версій цієї шкідливої програми Win32/Filecoder.AESNI.A ще 8 грудня 2016 року. Деякі ключі дешифрування для AESNI.A були нещодавно опубліковані на форумі BleepingComputer.com.

Дослідники ESET припускають, що програма-вимагач Win32/Filecoder.AESNI.C поширилася через українську систему автоматизації документообігу, яка широко використовується в бухгалтерському обліку. Оскільки коефіцієнт інфікування залишається низьким, кіберзлочинці могли використовувати соціальну інженерію, наприклад, оновлення шкідливого програмного забезпечення. Однак на даний момент дослідження продовжуються і про це ще рано говорити з абсолютною достовірністю.

Після інфікування комп'ютера основний файл завантажує легітимну системну утиліту SysInternals PsExec, а потім запускає завантажений зразок програми-вимагача.

Також у разі запуску з правами адміністратора шкідливе програмне забезпечення може інфікувати всю корпоративну мережу. Для отримання облікових даних адміністратора та запуску власних копій на всіх комп’ютерах у локальній мережі загроза використовує інструмент Mimikatz.

Варто зазначити, що назва шкідливої програми AESNI згадувалася у повідомленні про викуп в одній з попередніх версій.

Крім того, назва вказує на функціонал загрози, зокрема програма-вимагач перевіряє підтримку на інфікованих машинах Advanced Encryption Standard Instruction Set або AES-NI, який XData використовує для швидшого шифрування файлів жертви завдяки апаратному прискоренню.

У зв’язку з небезпекою подальшого поширення загроз спеціалісти ESET наполегливо рекомендують користувачам дотримуватися наступних запобіжних заходів:

  • Для уникнення інфікування цією загрозою рекомендується відділяти облікові записи користувачів та адміністраторів. Оскільки програма-вимагач XData використовує паролі адміністратора для запуску облікових записів з правами адміністратора та інфікування інших комп’ютерів мережі.
  •  

  • Слід використовувати надійне антивірусне рішення з багаторівневим захистом для захисту від подібних загроз у майбутньому.
  •  

  • Потрібно використовувати актуальні оновлення операційних систем, антивірусного та іншого програмного забезпечення.
  •  

  • Необхідно зберігати резервні копії файлів на віддаленому жорсткому диску або в іншому місці, захищеному від мережевого інфікування.
  •  

  • Не слід відкривати вкладення, надіслані в листах від невідомих відправників, а також будь-які підозрілі вкладення від знайомих адресантів.
  •  

    Більше рекомендацій спеціалістів ESET для захисту від програм-шифрувальників можна знайти за посиланням.