Вірус Tycoon використовує маловідомий формат файлів Java для непомітного проникнення
Новий вірус Tycoon вимагає викуп з користувачів комп’ютерів за повернення викрадених даних. Протягом довгого часу шкідливе ПЗ могло обходити антивірусні програми та залишатися непоміченим в мережі, але фахівцям вдалося з’ясувати шляхи обходу, і незабаром антивірусні програми введуть в алгоритм аналізу нових даних про вірус, – передає РБК-Україна.
Фахівцям вдалося визначити особливості нового вірусу-шифровальника Tycoon. Наголошується, що для шифрування вірус використовує маловідомий формат файлів Java для непомітного проникнення. Фахівці виявили Tycoon, коли працювали над відновленням інформації в одному з навчальних закладів Європи, постраждалому від кібератаки.
Співробітники компанії Blackberry відзначають, що атака вірусу починається стандартно: компрометація здійснюється через небезпечні RDP-сервери, “видимі” з інтернету. Потім процес змінюється, зловмисники використовують ін’єкцію IFEO для забезпечення сталої присутності в системі, запускають бекдор разом з OSK, а також відключають антивірусні програми, використовуючи ProcessHacker.
Після закріплення вірусу в мережі компанії, шахраї запускають здирницький модуль на Java, який шифрує всі файлові сервери, підключені до мережі, включаючи системи резервного копіювання.
Наголошується, що оператори Ransomware, як правило, використовують потужні алгоритми шифрування, а вимагають викуп у криптовалюті. Для більшості жертв єдиний варіант – сподіватися, що вони мають резервне копіювання або сплатити викуп. Поки фахівці рекомендують не викачувати файли в форматі Java.