Пресс-центр

24 мая 2017

Шифратор XData атаковал украинские компании

Через неделю после глобальной эпидемии WannaCry эксперты ESET наблюдали атаку другого шифратора – Win32/Filecoder.AESNI.C (он же XData). По данным системы телеметрии ESET, угроза преобладала на Украине, где в период с 17 по 22 мая зафиксировано 96% отраженных атак.  

По мнению экспертов ESET, XData распространялся через украинскую систему автоматизации документооборота, которая широко используется в бухгалтерском учете. Поскольку коэффициент заражения остается низким, можно предположить, что для проникновения шифратора в сеть применялась социальная инженерия, например, вредоносные обновления программного обеспечения.  

После заражения компьютера главный файл шифратора загружает легитимную системную утилиту PsExec и затем выполняет сброшенный образец Win32/Filecoder.AESNI.C.

Если программа выполняется с правами администратора, шифратор может заразить всю сеть. Для этого он использует инструмент Mimikatz для извлечения учетных записей администратора, а затем запускает свои копии на всех компьютерах в локальной сети.

Эксперты ESET подчеркивают, что без прав администратора XData может заразить только один компьютер и не нанесет вред всей сети. Предотвратить угрозу сети позволяет разделение прав администраторов и рядовых пользователей.

Название AESNI – отсылка к требованию выкупа одной из версий, содержавшему самоназвание шифратора. Кроме того, название указывает на функциональность – вредоносная программа проверяет на зараженной машине поддержку расширения системы команд Advanced Encryption Standard Instruction Set (AES-NI), которое позволяет шифровать данные жертвы быстрее при помощи аппаратного ускорения.

ESET отслеживает распространение шифраторов семейства AESNI с момента появления первой модификации вредоносной программы (Win32/Filecoder.AESNI.A) 8 декабря 2016 года. Ключи расшифровки файлов, пострадавших от данной модификации малвари, опубликованы на форуме BleepingComputer.com.

ESET рекомендует использовать комплексные антивирусные продукты, своевременно обновлять операционные системы, делать бэкапы и хранить резервные копии вне сети, игнорировать вложения и ссылки в подозрительных сообщениях электронной почты.

Антивирусные продукты ESET детектируют угрозу как Win32/Filecoder.AESNI.C.

Более подробная информация о защите от программ-вымогателей: noranson.esetnod32.ru

aes.png