PRO вирусы. Версия 4.0 (Холмогоров) - страница 33

• осуществляет поиск на дисках зараженного компьютера файлов, удовлетворяющих заданным вирусописателями критериям;

• шифрует все удовлетворяющие условиями файлы;

• создает и сохраняет на диске документы с перечислением действий для последующей расшифровки файлов и условиями выкупа.

После того как файлы оказываются зашифрованными, троянцы-энкодеры, в зависимости от версии, могут изменить фон рабочего стола атакованного компьютера на графическое изображение с указанием дальнейших инструкций для своей жертвы. Требуемая злоумышленниками сумма может варьироваться от десятков до нескольких тысяч долларов. В целях конспирации некоторые модификации шифровальщиков размещают свои управляющие серверы в анонимной сети TOR, что значительно затрудняет их идентификацию и последующую расшифровку данных.

Рассмотрим принцип работы троянца-шифровальщика на примере нашумевшего энкодера Troldesh. В самом начале марта 2019 года компания Group-IB сообщила об очередной массированной атаке с использованием этого трояна. Энкодер распространялся с помощью сообщений электронной почты, отправленных от имени известных на российском рынке компаний.

Театр, как известно, начинается с длительного поиска свободной парковки, а распространение большинства вредоносных программ — с почтовой рассылки. Среди поддельных отправителей подобных писем исследователи из Group-IB отмечали «Всероссийский банк развития регионов» и «Группу компаний ПИК», а журналисты РБК пополнили список пострадавших брендов «Ашаном», «Магнитом» и «Славнефтью», упомянув при этом, что злоумышленники прикр ывались именами более пятидесяти фирм, названия которых у всех на слуху. Лично мне попадались аналогичные письма, в строке From которых значился автомобильный дилер «Рольф», «Бинбанк», «KIA Motors», «Ресо Гарантия» и некая контора «Инженер Строй» (рис. 2).

Рис. 2. Письма, рассылавшиеся в ходе атаки Troldesh

Очевидно, такая стратегия продиктована общеизвестными постулатами социальной инженерии: у сообщения от известного отправителя больше шансов быть открытым, чем у послания, автор которого адресату совершенно незнаком. Во всех без исключения изученных мной письмах ссылки вели на взломанные сайты, работающие под управлением WordPress или Joomla. И скрипт-загрузчик, и собственно энкодер злодеи хранили в открытых на запись папках /content/icons/, /templates/, /wp-admin/css/ или /wp-content/themes/. Вероятно, чтобы размещать вредоносное содержимое, они приобрели на каком-то из хакерских форумов базу скомпрометированных аккаунтов либо воспользовались одним из известных эксплоитов для этих популярных CMS.