Исследователи компании Intzer и подразделения IBM X-Force IRIS team обнаружили вирус-шифровальщик PureLocker. Вредонос написан на кросс-платформенном языке программирования PureBasic, что позволяет ему успешно атаковать сервера, как под управлением операционной системы Windows, так и Linux.

Вирусы, написанные на PureBasic, как правило, плохо обнаруживаются современными антивирусами. Кроме этого, исследователи отмечают применение вирусом-шифровальщиком PureLocker специфического механизма защиты от обнаружений - вредонос пытается избежать перехвата антивирусами функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из нее. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами.

На Windows-системах PureLocker использует утилиту regsrv32.exe для ''тихой'' установки библиотечного компонента PureLocker – никаких диалоговых окон пользователю не выводится. Шифровальщик перед установкой проверяет наличие прав администратора у жертвы и текущую дату и если на машине текущая дата соответствует 2019 году, запускает процесс установки через regsrv32.exe. Если хоть одно условие не выполнено, PureLocker деактивируется и не производит никаких действий в системе.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.

После успешной установки, вредонос начинает шифровать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы получают расширение .CR1 при этом оригинальные файлы уничтожаются. Завершив шифрование файлов компьютера вирус-шифровальщик PureLocker оставляет сообщение с требованием выкупа и удаляет все свои компоненты с компьютера жертвы.

Оставленное злоумышленниками сообщение не содержит четкую сумму выкупа за расшифровку данных – жертве предлагается написать письмо на уникальный адрес в сервисе защищенной почты Proton и самостоятельно договориться о стоимости ключа для расшифровки файлов.

Специалисты по ИБ считают, что PureLocker – это лишь один этап комплексной цепочки заражения. При анализе кода PureLocker были обнаружены фрагменты бэкдора more_eggs, который в даркнете предлагается по схеме MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.

Выявленные фрагменты кода указывают на связь с Cobalt Group и относятся к компоненте, использующейся для многоступенчатых атаках, и DLL-дропперу, позволяющему противодействовать обнаружению и анализу вредоноса антивирусными программами.

Для защиты информации эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бэкапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бекапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от сбоев и шифровальщика PureLocker.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете киберпреступность и ее развитие!