Как сообщают в «Лаборатории Касперского», речь идет о новой версии уже известного зловреда SynAck. Как выяснилось, он первым из шифровальщиков начал использовать так называемую технику Doppelganging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Если учесть, что в этом вредоносном коде применяются также и другие методы «обмана» антивирусных решений, то задача обнаружения его присутствия в системе становится довольно сложной.
SynAck известен с осени 2017 года. Тогда он атаковал преимущественно англоговорящих пользователей и задействовал для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Однако новая версия шифровальщика стала на порядок сложнее. К примеру, используемая в ней техника Doppelganging эксплуатирует недокументированную возможность загрузки процессов в Windows и позволяет внедрить бесфайловый вредоносный код в легитимные системные процессы. В итоге шифровальщик не оставляет никаких следов в зараженной системе.
Как полагают исследователи, SynAck выбирает своих жертв довольно тщательно, поэтому сейчас атаки шифровальщика носят целевой характер. К настоящему моменту заражения зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа, который требует зловред, составляет 3 тыс. долл.
Для того чтобы избежать заражения этим и другими шифровальщиками, рекомендуется: регулярно создавать резервные копии файлов; использовать надежное защитное решение, которое может распознать зловреда по его поведению и откатить вредоносные изменения; всегда устанавливать все официальные обновления ПО на всех своих устройствах; обучать персонал и ИТ-команды навыкам кибербезопасности, а также отдельно хранить наиболее ценную информацию и ограничивать доступ к ней; тем же, кто стал жертвой шифровальщика, не паниковать и проверить, нет ли в открытом доступе утилиты для расшифровки.