“Kaspersky Lab” şirkətinin analitikləri müdafiə həllərini aldatmaq üçün yeni texnikadan istifadə edən və Kiril əlifbalı klaviatura düzülüşü olan kompüterləri səylə yan keçən şifrləyici troyan aşkar edib.
Söhbət artıq tanınmış “SynAck” adlı zərərli proqramın yeni versiyasından gedir.
Ekspertlər müəyyənləşdiriblər ki, “SynAck” zərərli proqramlara qanuni proses altında gizlənmək imkanı verən “Doppelgänging” adlı texnikanı şifrləyicilər arasında ilk dəfə istifadə etməyə başlayıb. Nəzərə alsaq ki, bu proqram təminatında antivirus həllərinin digər “aldatma” üsulları da tətbiq olunur, zərərli proqramın sistemdə mövcudluğunu aşkar etmək kifayət qədər çətindir.
“SynAck” 2017-ci ilin payızından tanınır. O zaman o, əsasən ingilisdilli istifadəçilərə hücum edib və bunun üçün sonradan zərərverici faylın əllə quraşdırılmasını nəzərdə tutan “bruteforce” texnikasını istifadə edib. Lakin şifrləyicinin yeni versiyası bir qədər mürəkkəbləşdirilib. Məsələn, yeni versiyada istifadə edilən “Doppelgänging” texnikası “Windows”da proseslərin sənədsiz yüklənmə imkanını istismar edir və qanuni sistem proseslərinə faylsız zərərli kod tətbiq etməyə imkan verir. Nəticədə, şifrləyici yoluxdurulmuş sistemdə heç bir iz qoymur.
Tədqiqatçıların fikrincə, “SynAck” öz qurbanlarını çox diqqətlə seçir, ona görə də indi şifrləyicinin hücumları məqsədli xarakter daşıyır. Bu günədək yoluxma halları ABŞ, Küveyt, Almaniya və İranda qeydə alınıb. Zərərli proqram tərəfindən tələb edilən orta pul məbləği 3 000 ABŞ dolları təşkil edir.
“Kiberməkanda hücum edənlər və müdafiəçilər arasında rəqabət heç vaxt bitmir. Yeni “Doppelgänging” texnikası zərərli proqram təminatına hətta ən müasir qoruyucu texnologiyalarının radarlarını yan keçməyə imkan verir. Təəccüblü deyil ki, cinayətkarlar ondan istifadə etməyə yubanmadılar. Lakin, xoşbəxtlikdən, belə təhlükələr reallığa çevrilənədək onların aşkar edilmə məntiqi qoruyucu həllərə əlavə edilib”, — deyə “Kaspersky Lab”ın antiviruslar üzrə eksperti Anton İvanov bildirib.
«Kaspersky Lab» şirkətinin qoruyucu həlləri “SynAck” şifrləyicinin yeni versiyasını “Trojan-Ransom.Win32.Agent.abwa”, “Trojan-Ransom.Win32.Agent.abwb” və “PDM:Trojan.Win32.Generic.” kimi müəyyən edir.
Bu və digər şifrləyicilər tərəfindən yoluxmadan qorunmaq üçün «Kaspersky Lab» tövsiyə edir:
- mütəmadi olaraq faylların ehtiyat surətlərini yaratmaq;
- zərərli proqramı davranışına görə müəyyən edib, zərərverici dəyişiklikləri dayandıra biləcək etibarlı qoruyucu həldən istifadə etmək;
- hər zaman bütün qurğularda proqram təminatının rəsmi yenilənmələrini quraşdırmaq;
- korporativ istifadəçilərə – əməkdaşlara və İT-komandalara kibertəhlükəsizlik bacarıqlarını öyrətmək, həmçinin daha dəyərli məlumatları ayrıca saxlamaq və onlara daxilolma yollarını məhdudlaşdırmaq;
- şifrləyicinin qurbanlarına – təşvişə düşməmək və şifri açmaq üçün utulitdə parolun olub-olmamasını yoxlamaq, məsələn, “No More Ransom” saytında.
“SynAck” şifrləyicinin yeni versiyasının imkanları haqqında daha ətraflı «Kaspersky Lab» şirkətinin hesabatında oxumaq olar: https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/.