Специалисты MalwareHunterTeam сообщили о новой версии вредоноса MountLocker, в которую был добавлен функционал "червя". Шифровальщик MountLocker теперь может использовать API Windows Active Directory для распространения по корпоративной сети и шифрования устройств.

Вирус-шифровальщик пытается сначала обнаружить контроллер домена Active Directory, затем отправляет LDAP-запросы с помощью функции ADsOpenObject и ищет все объекты "objectclass = computer". Далее для каждого найденного компьютера в Active Directory вредонос MountLocker пытается скопировать исполняемый файл с вирусом в папку "\C$\ProgramData" удаленного устройства. Следующий шаг вируса-вымогателя - удаленно создать службу Windows, которая ссылается на ранее загруженный исполняемый файл вируса. После перезагрузки атакованного компьютера, запускается процесс шифрования.

"MountLocker — первая известная программа-вымогатель, которая использует уникальные корпоративные схемы сетей для выявления дополнительных целей шифрования", — пояснил директор Advanced Intel Виталий Кремез изданию BleepingComputer.

По словам специалистов, поскольку сетевые администраторы Windows обычно используют данный API, злоумышленник, внедривший этот код, вероятно, имеет некоторый опыт администрирования доменов Windows.

По мнению экспертов, данный образец вируса-шифровальщика MountLocker эксплуатируется киберпреступной группировки XingLocker, впервые выявленной в мае 2021 года.

Для защиты информации эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бекапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бакапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете киберпреступность и ее развитие!