Троян Rakhni: «майнить и шифровать»

Недавно мы писали о том, что вымогатели постепенно уступают первые строчки в рейтингах самых распространенных киберугроз майнерам. Троян-шифровальщик Rakhni, за эксперты «Лаборатории Касперского» наблюдают с 2013 года, следуя тренду, пополнился модулем для добычи криптовалюты. Что любопытно, загрузчик вредоносной программы умеет выбирать, какой компонент установить на конкретное устройство. Исследователи разобрались, как работает обновленный зловред и чем он опасен.

Целью авторов трояна, судя по всему, являются российские и русскоговорящие пользователи: больше всего атак (95,57%) мы засекли на территории нашей страны, а основным каналом распространения зловреда стала русскоязычная спам-рассылка. В том образце, который в деталях изучили специалисты, вредоносное вложение маскировалось под финансовый документ. Это позволяет предположить, что злоумышленников интересуют в первую очередь корпоративные «клиенты».

Вложенный в спам-письмо DOCX-файл содержит PDF-документ. Если пользователь разрешает редактирование и пытается открыть PDF, появляется системный запрос разрешения на запуск исполняемого файла от неизвестного издателя. Получив добро от пользователя, Rakhni начинает действовать.

Очень осторожный зловред

Троян предпринимает целый комплекс мер, чтобы обезопасить себя. Исполняемый при запуске вредоносного PDF файл притворяется средством для просмотра документов. Первым делом зловред демонстрирует жертве сообщение об ошибке, объясняющее, почему ничего не открылось. Затем пытается определить, не попал ли он на компьютер вирусных аналитиков и не работают ли на машине опасные для него антивирусные решения, и проводит еще несколько проверок. После этого он выключает Защитник Windows и устанавливает поддельные цифровые сертификаты. И только почувствовав себя в безопасности, принимает решение, как именно использовать зараженное устройство.

Цифровой сертификат, также известный как сертификат открытого ключа, является электронным документом, который используется для подтверждения права владения публичным ключом.

Сделав свое черное дело, вредоносная программа пытается распространиться на другие компьютеры внутри локальной сети. Если на устройствах ваших сотрудников открыт общий доступ к папке «Пользователи», зловред копирует себя на них.

Шифровать или майнить?

Критерий выбора прост: если зловред находит на компьютере жертвы служебную папку под названием Bitcoin, он запускает вымогатель, который шифрует файлы (в том числе документы Office, PDF, изображения и файлы резервных копий) и требует в течение трех дней заплатить выкуп. Размер выкупа и другие подробности злоумышленники обещают сообщить в ответ на запрос по электронной почте.

Если же папок, связанных с биткойнами, на устройстве нет, а его мощность, на взгляд зловреда, достаточна для добычи криптовалюты, он загружает майнер, в фоновом режиме генерирующий токены Monero, Monero Original или Dashcoin. В результате падает производительность устройства и, как следствие, работающего на нем сотрудника.

Как не стать жертвой майнера-шифровальщика?

Чтобы избежать заражения Rakhni и урона, который он может нанести вашей компании, следует критически относиться к входящим письмам, особенно поступившим с незнакомых email-адресов. Если сомневаетесь, открывать ли вложенный файл, — лучше не открывать. Также внимательно читайте предупреждения от операционной системы: приложения неизвестных издателей запускать не стоит, особенно если их название напоминает популярные программы.

Кроме того, в борьбе с майнерами и шифровальщиками в корпоративной сети вам помогут следующие меры:

• Обучайте ваших сотрудников информационной безопасности и регулярно проверяйте их знания.
• Обязательно делайте резервные копии критически важных данных и храните их на отдельных носителях.
• Используйте надежные защитные решения.

LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.