Osiris — новая реинкарнация троянской программы Locky
В конце января специалисты Acronis обнаружили новый сэмпл вредоноса-вымогателя Osiris, который легко обходит защиту Windows Defender. Вот некоторые данные о новой программе-вымогателе Osiris.
- Osiris относится к седьмому поколению программ-вымогателей семейства Locky, и обычно распространяется через спам;
- Osiris сложно выявить, так как он использует стандартные компоненты Windows для загрузки и исполнения вредоносного кода (скрипты и библиотеки);
- Osiris обладает средствами обнаружения виртуальной сред, что затрудняет дебаггинг и отладку на виртуальных машинах; этот алгоритм был значительно улучшен по сравнению с первоначальной версией, появившейся в июне 2016 г.;
- Он заражает локальные устройства и легко распространяется по сети, заражая другие компьютеры и сетевые папки;
- Osiris также может распространяться через CRM/системы поддержки клиентов (включая облачные) за пределами одной организации. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, откроет вложение в Excel и заразит сеть.
- Как и предполагали специалисты Acronis, мошенники начали атаковать решения для резервного копирования. Osiris напрямую атакует службу теневого копирования томов Microsoft (VSS) операционных систем Windows, и удаляет уже созданные теневые копии;
- Osiris использует мощные алгоритмы шифрования, вследствие чего заражённые данные не могут быть дешифрованы сторонними инструментами;
- Он заражает устройства на Windows, а также, возможно, на Mac и Android;