Украинцев атакует опасный компьютерный вирус: Microsoft рассказала, как защититься
Список жертв ПО Prestige совпадает с другими сериями кибератак, которые связывают с российскими хакерами.
Компании в Украине и Польше атаковал программа-вымогатель Prestige, которую эксперты связывают с Россией. Microsoft расследовала инциденты и представила свои выводы на официальном сайте.
Хакеры активизировали компьютерный вирус 11 октября, на следующий день после массированного обстрела Украины российскими войсками. Жертвы столкнулись с вредоносным ПО с разницей в час, а их список совпадает с пострадавшими от ПО FoxBlade (также известного как HermeticWiper) и других атак, которые связывают с Россией.
Программа получает доступ к учетным записям пользователей, а затем шифрует файлы, добавляет расширение “enc” и требует выкуп в обмен на инструмент для расшифровки. При попытке открыть любой из них открывается документ “Блокнота” с запиской от злоумышленников:
“Не пытайтесь расшифровать ваши файлы с помощью стороннего программного обеспечения — это может привести к безвозвратной потере информации. Не пытайтесь изменить или переименовать зашифрованные файлы. Вы потеряете их”.
Microsoft выделила несколько особенностей вируса Prestige, который раньше не попадался экспертам по кибербезопасности. Они считают, что распространение программ-вымогателей в масштабах предприятия не является обычным явлением в Украине, к тому же, атака не связана ни с одной из 94 активных групп, которые отслеживает Microsoft.
Несмотря на схожие методы развертывания, кампания Prestige отличается от недавних разрушительных атак с использованием AprilAxe (ArguePatch)/CaddyWiper или Foxblade (HermeticWiper), которые за последние две недели затронули несколько критически важных объектов инфраструктуры Украины. Вирус использует библиотеку CryptoPP C++ для шифрования AES каждого подходящего файла. В процессе шифрования одна версия программы-вымогателя использует следующий жестко запрограммированный открытый ключ RSA X509 (каждая версия Prestige может иметь уникальный открытый ключ). ПО также удаляет резервные копии файлов, чтобы их невозможно было остановить с помощью функции восстановления системы.
Как пишет Microsoft, злоумышленники запускают вирус после предврительного взлома и получения доступа к учетным данным. Эксперты дали рекомендации, как защититься от Prestige или смягчить его вред:
- Заблокируйте создание процессов, происходящих из команд PSExec и WMI с помощью компонента WMIexec Impacket;
- Включите защиту от несанкционированного доступа, чтобы предотвратить вмешательство в работу Microsoft Defender (встроенного антивируса в ОС Windows);
- Включите облачную защиту в антивирусной программе;
- Используйте включенные индикаторы компрометации, чтобы оценить потенциальное вторжение;
- Включите многофакторную аутентификацию для всех удаленных подключений;
- Использовать решения без пароля, такие как Microsoft Authenticator для защиты учетных записей.
