Вибір редакції

Osiris — новая реинкарнация троянской программы Locky

11 апреля, 2017. 11:04
В конце января специалисты Acronis обнаружили новый сэмпл вредоноса-вымогателя Osiris, который легко обходит защиту Windows Defender. Вот некоторые данные о новой программе-вымогателе Osiris.
  • Osiris относится к седьмому поколению программ-вымогателей семейства Locky, и обычно распространяется через спам;

  • Osiris сложно выявить, так как он использует стандартные компоненты Windows для загрузки и исполнения вредоносного кода (скрипты и библиотеки);

  • Osiris обладает средствами обнаружения виртуальной сред, что затрудняет дебаггинг и отладку на виртуальных машинах; этот алгоритм был значительно улучшен по сравнению с первоначальной версией, появившейся в июне 2016 г.;

  • Он заражает локальные устройства и легко распространяется по сети, заражая другие компьютеры и сетевые папки;

  • Osiris также может распространяться через CRM/системы поддержки клиентов (включая облачные) за пределами одной организации. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, откроет вложение в Excel и заразит сеть.

  • Как и предполагали специалисты Acronis, мошенники начали атаковать решения для резервного копирования. Osiris напрямую атакует службу теневого копирования томов Microsoft (VSS) операционных систем Windows, и удаляет уже созданные теневые копии;

  • Osiris использует мощные алгоритмы шифрования, вследствие чего заражённые данные не могут быть дешифрованы сторонними инструментами; 

  • Он заражает устройства на Windows, а также, возможно, на Mac и Android;
Комментарии: