Эксперты обнаружили некоторые признаки, которые позволяют предположить, что Sodin распространяется по RAAS-модели (вымогатель-как-услуга, от англ. Ransomware-as-a-Service), то есть продаётся на чёрном рынке. С этим связана интересная особенность этого зловреда. Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Функциональность же Sodin содержит лазейку, которая позволяет его авторам иметь возможность расшифровывать файлы втайне от распространителей.
Также, чтобы затруднить анализ вредоносного кода программами-отладчиками и усложнить обнаружение этого шифровальщика защитными решениями, злоумышленники используют редкую в случае программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-разрядный код в 32-разрядном процессе.
Методы распространения данного шифровальщика в большинстве случаев не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники компрометируют серверы, на которых запущено уязвимое ПО, и незаметно для жертвы устанавливают зловред в систему.
«Вымогатели остаются очень распространённой угрозой, хотя мы по-прежнему нечасто видим такие сложные разновидности этого типа зловредов и такую необычную технику — запуск 64-битного кода в 32-битном процессе, что усложняет анализ вредоносного кода, а также его обнаружение защитными решениями. Мы ожидаем всплеск числа атак Sodin, поскольку в его создание было, по-видимому, вложено немало ресурсов, а это означает, что его авторы, скорее всего, захотят окупить затраченные усилия», — рассказывает Фёдор Синицын, старший антивирусный эксперт «Лаборатории Касперского».
Решения «Лаборатории Касперского» распознают этот зловред как Trojan-Ransom.Win32.Sodin и блокируют его активность. Уязвимость CVE-2018-8453, которую эксплуатирует Sodin, ранее использовала кибергруппировка FruityArmor. Патч для этой уязвимости был создан 10 сентября 2018 года.
Чтобы избежать заражения шифровальщиком Sodin эксперты «Лаборатории Касперского» рекомендуют:
убедиться, что используемое ПО регулярно обновляется до самых новых версий;
не открывать подозрительные почтовые вложения и не переходить по сомнительным ссылкам, даже если вам их присылают знакомые;
использовать надёжное защитное решение;
регулярно делать резервные копии важных данных, которые желательно хранить отдельно.
Полный отчёт о деятельности шифровальщика Sodin читайте на https://securelist.ru/sodin-ransomware/94316/ .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
“Qaror chiqqan kundan to‘lovni boshlayman” – Munira Kariyeva tovon pulini qoplab berish borasida so‘zida turishini ma’lum qildi.
14 iyun kuni “Dok-1 Maks” ishi bo‘yicha davom etgan apellyatsiya sudida Sardor Kariyevning onasi Munira Kariyeva shaxsan ishtirok etib,...
-
O‘zbekiston va Janubiy Koreya rahbarlari Toshkentdagi muzokaralar yakunlarini yuqori baholadi.
O‘zbekiston prezidenti Shavkat Mirziyoyev va Janubiy Koreya prezidenti Yun Sok Yol ommaviy axborot vositalari vakillari uchun bayonot berdi. .
-
Toshkent va Dehli o‘rtasida parvozlar soni oshiriladi.
Avgust oyidan O‘zbekiston poytaxti va Hindiston poytaxti o‘rtasida har kuni parvoz qilish mumkin bo‘ladi. .
-
“Prezident zamonaviyroq va dunyoga yanada bog‘langan davlat qurmoqchi” – AQSh Savdo vakili.
11-12 iyun kunlari AQSh Savdo vakili Ketrin Tay O‘zbekistonda bo‘lib, qator rasmiylar, xususan, prezident Shavkat Mirziyoyev bilan ham uchrashdi....
-
Спалетти: "Қаҳрамонлар футболдан қўрқмайдилар"
Италия терма жамоаси бош мураббийи Луцано Спалетти Европа чемпионати олдидан жамоаси ортиқча босим остида эмаслигини айтди.
-
Yevro-2024 tanishtiruvi: Portugaliya va Belgiya guruhlaridagi jamoalar, tarkiblar va o‘yinlar taqvimi.
E guruhida Belgiya va Ukraina, F guruhida Portugaliya va Turkiya favorit..