Шифровальщик, поставивший на колени Garmin, невидим для антивирусов. Он использует внутренние механизмы Windows

Сопротивление бесполезно?

Эксперты компании Sophos опубликовали исследование шифровальщика WastedLocker, который использует определённые функции Windows для обеспечения скрытности и обхода защиты.

В частности, шифровальщик использует диспетчер кэша Windows, чтобы избежать внимания со стороны защитных средств, разработанных специально для блокировки шифровальных программ.

Такие средства как правило мониторят вызовы файлов, типичные для шифровальщиков; для этого используется драйвер минифильтра, который детектирует подозрительные вызовы в режиме реального времени. Если обнаруживается неизвестный процесс, который производит множество последовательных операций - открытие файла, запись в него и закрытие, срабатывает механизм поведенческой защиты и подозрительный процесс блокируется.

В результате, правда, несколько файлов оказываются повреждёнными в любом случае.

Шифровальщик WastedLocker использует механизм, позволяющий ему избегать детектирования.

Бомба в кэш

Для оптимизации работы, операционная система кэширует часто используемые файлы, а также файлы, предназначенные для использования конкретными приложениями. Когда какое-либо приложение запрашивает доступ к файлу, Windows проверяет, присутствует ли он в кэше, и если да, то загружает его оттуда. Это занимает куда меньше времени, чем считывание файла с диска.

WastedLocker использует эту особенность: открыв тот или иной файл, он записывает его содержимое в кэш, а затем закрывает. Изменению (шифрованию) подвергается именно то, что находится в кэше.

С определённого момента все изменённые в кэше данные перезаписываются в оригинальные файлы. Тем самым в качестве шифровальщика выступает по сути сама операционная система, и, естественно, антишифровальные инструменты бессильны остановить происходящее - с их точки зрения, происходящее совершенно легитимно. Тем более, что диспетчер кэша Windows функционирует с привилегиями SYSTEM.

Sophos уже обновляет собственные разработки таким образом, чтобы блокировать подобное поведение.

Повышенная угроза

Как утверждает Bleeping Computer, шифровальщик WastedLocker, по-видимому, создан русскоязычной кибергруппировкой Evil Corp; именно его использовали в ходе недавней нашумевшей атаки на Garmin, в результате которой была парализована как работа как компании, так и выпущенных ей устройств. Предположительно Garmin заплатила выкуп операторам WastedLocker за прекращение атаки.

Помимо использования диспетчера кэша Windows, этот шифровальщик способен обходить средства контроля учётных записей Windows, использует альтернативные потоки данных и хэширование названий функций.

«WastedLocker - одна из самых серьёзных на сегодняшний день угроз; её разработчики очень скрупулёзно подошли к тому, чтобы предотвратить обнаружение и блокировку шифровальщика, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Поэтому наиболее простой и продуктивный способ - это предотвратить попадание шифровальщика в систему. EvilCorp специализируется на взломе сайтов, которые затем начинают выводить пользователям ложные сообщения о необходимости обновить то или иное ПО. Естественно, вместо обновлений им загружаются инструменты удалённого доступа, с помощью которого они затем пытаются скомпрометировать всю сеть потенциальной жертвы. Соответственно, необходимо следить за тем, чтобы никакие обновления не скачивались из непроверенных источников, и тем более, чтобы у корпоративных работников не было возможность их устанавливать. Все стандартные средства защиты сетей также должны работать исправно - предотвратить атаку проще, чем бороться с последствиями».

Вероятнее всего, в ближайшем будущем другие разработчики антишифровальных средств также реализуют механизмы блокировки шифрования через кэш Windows. Но до тех пор, пока это не произошло, WastedLocker представляет повышенную угрозу.