Троян научился обходить антивирусы с помощью невинных картинок

Безопасность Стратегия безопасности Техника
мобильная версия
, Текст: Роман Георгиев
Троянец SyncCrypt использует многоступенчатую процедуру заражения, пряча основные вредоносные компоненты в заархивированном виде внутри графических файлов формата .PNG. Большинство антивирусов не могут его выявить.

Судебные предписания и невинные картинки

Новый троянец-шифровальщик SyncCrypt использует графические файлы для заражения компьютеров; компоненты вредоноса в зашифрованном виде скрыты внутри PNG-файлов, что позволяет обходить подавляющее большинство антивирусов.

SyncCrypt распространяется вместе со спамом, в письмах с вложениями в формате WSF, которые выдаются за судебные предписания. Если пользователь открывает файл, встроенный в него JavaScript скачивает с нескольких разных адресов кажущиеся невинными графические файлы, из которых извлекается вредоносная начинка.

Без скрипта это не работает, так что, если просто попытаться открыть эти изображения по прямой ссылке, вредоносные компоненты остаются зашифрованными.

Компоненты троянца представляют собой три файла - sync.exe, readme.html и readme.png.

WSF-файл создает в Windows отложенную задачу Sync, которая, соответственно, запускает файл sync.exe. Тот начинает сканировать компьютер на предмет файлов с определённым расширением, и шифровать их по алгоритму AES со встроенным публичным ключом RSA-4096. Зашифрованные файлы получают расширение .kk.

Шифрованию подвергаются файлы более, чем 350 типов, используемые самыми популяирными программами, включая asp, bat, bmp, cdr, css, doc, docx, gif, html, eml, jpeg, jpg, jar, java, ods, odt, pdf, ppt, pptx, sql, sqlite, xls, xlsx, png, rar, tar, zip и др.

Большинство антивирусов не могут выявить троян SyncCrypt, прячущий вредоносные компоненты внутри графических файлов

При этом шифровальщик пропускает содержимое системных папок - \Windows, \Program Files (x86), \Program Files, \Programdata, \Winnt, \System Volume Information, \Desktop\Readme\ и \$recycle.bin.

Злоумышленники требуют $430 в биткоинах за ключ для расшифровки файлов. Преступники отводят жертвам всего 48 часов на выплату, после чего ключ уничтожается.

Только один антивирус

Метод распространения, используемый SyncCrypt, специалисты оценивают как весьма эффективный уже потому, что антивирусы очень редко детектируют компоненты вредоноса внутри изображений. Статистика VirusTotal показывает, что лишь один из 58 антивирусных вендоров - а именно, российский DrWeb, - считает графические файлы чем-то подозрительным. В то же время сам файл sync.exe определялся на VirusTotal как вредоносный в 28 из 63 случаев.

«Ничего нового в идее прятать вредоносный код внутри изображений нет. Другое дело, что раньше внутри .PNG-файлов прятали двоичные файлы, а не архивы, - говорит Георгий Лагода, генеральный директор компании SEC Consult Services. – Вероятно, именно из-за этого антивирусы и пропускают то, что пропускать были бы не должны. Но в целом, самый надёжный способ защититься от подобных неприятностей, это внимательно следить, что за корреспонденция и откуда поступает, не открывать ничего, что может хотя бы в минимальной степени выглядеть подозрительно, и проверять даже кажущиеся невинными вложения с помощью антивирусных утилит и сервисов типа VirusTotal».

Лагода также отметил, что, как и со всеми остальными шифровальщиками, наиболее эффективной страховкой является регулярное резервирование данных. Некоторые шифровальщики используют слишком сильные алгоритмы шифрования и лишены уязвимостей, которые позволяют вернуть данные без выплаты выкупа. Выплата же, в свою очередь, не является гарантией восстановления данных, - злоумышленники совершенно не обязательно будут соблюдать свою часть «уговора».