Исследователи кибербезопасности обнаружили новый вариант вымогателя Snatch, который сначала перезагружает зараженные компьютеры Windows в безопасном режиме, а затем шифрует файлы жертв, чтобы избежать обнаружения антивирусом.
В отличие от традиционных вредоносных программ, новое Snatch Ransomware выбирает для запуска в безопасном режиме, потому что в режиме диагностики операционная система Windows запускается с минимальным набором драйверов и служб без загрузки большинства сторонних программ запуска, включая антивирусное программное обеспечение.
Snatch был активен, по крайней мере, летом 2018 года, но исследователи SophosLabs заметили усовершенствование Безопасного режима для этого штамма вымогателей только в недавних кибератаках против различных исследованных ими объектов.
«Вымогатель, называющий себя Snatch, настраивается как служба [называемая SuperBackupMan с помощью реестра Windows], которая будет работать во время загрузки в безопасном режиме».
«После перезагрузки, на этот раз в безопасном режиме, вредоносная программа использует компонент Windows.exe net.exe для остановки службы SuperBackupMan, а затем использует компонент Windows vssadmin.exe для удаления всех теневых копий системного тома, который предотвращает восстановление файлов, зашифрованных с помощью вымогателей».
Отличительной особенностью Snatch от других является то, что, помимо вымогателей, он также является похитителем данных. Snatch включает в себя сложный модуль кражи данных, позволяющий злоумышленникам красть огромное количество информации из целевых организаций.
Хотя Snatch написан на Go, (языке программирования, для разработки кроссплатформенных приложений), авторы разработали этот вымогатель для запуска только на платформе Windows.
«Snatch может работать на большинстве распространенных версий Windows, с 7 по 10, в 32- и 64-разрядных версиях. Образцы, которые мы видели, также упакованы пакетом с открытым исходным кодом UPX, чтобы скрыть их содержимое», — говорят исследователи.
Чтобы предотвратить атаки вымогателей, организациям не рекомендуется предоставлять свои критически важные службы и защищенные порты общедоступному Интернету, а при необходимости защищать их, используя надежный пароль с многофакторной аутентификацией.