Вирус шифровальщик Thanos

Thanos стал первой утилитой, которая использует методы обхода различных защитных механизмов. Ранее большинство антивирусных компаний считали, что данный метод не будет использоваться злоумышленниками.

шифровальщик фото айти центр спбВирус Thanos — Что это такое?

Вирус Thanos – первый вирус, использующий алгоритм обхода защитных инструментов RIPlace.

Напомним, данные средства впервые были описаны в 2019 году. В настоящее время злоумышленники используют для распространения вредоносной утилиты модель RaaS (вирус как услуга).

Предложения публикуются преимущественно на специализированных российских форумах.
Вероятно, разработка вредоносной утилиты стартовала летом 2019 года, распространение началось в октябре 2019 года. Первые жалобы от пострадавших зафиксированы в начале 2020 года. На начальном этапе вирус назывался QuimeraRansomware, через некоторое время приложение идентифицировалось уже как Hakbit. С февраля 2020 года он в очередной раз сменил название на Thanos.

защита от шифровальщика айти центр спбКак работает вирус Вирус Thanos?

Новый шифровальщик не отличался сложным функционалом, но имел ряд отличительных особенностей. В основе вируса лежал код C#. Методика RIPlace, используемая вирусом, впервые была описана специалистами компании Nyotron.

Эксперты выяснили, что если в процессе шифрования утилита использует старую функцию DefineDosDevice (создание символических ссылок), антивирусные программы не способны детектировать данную операцию.

Представители компании сообщили о проблеме антивирусным компаниям, но большинство из них ответила, что данную схему атаки никто не использует, поэтому разрабатывать защитные алгоритмы нет смысла. Реакция последовала только от двух компаний, которые уже добавили соответствующий функционал в свои программы (CarbonBlack и «Лаборатория Касперского»).

Кроме успешного обхода защитных алгоритмов, утилита Thanos способна распространятся по локальной сети, а также передавать похищенные данные на сервер злоумышленников. После инсталляции вирус загружает набор утилит SharpExec (проверка безопасности), одна из которых и позволяет создавать и запускать копии вируса на других устройствах атакованной локальной сети.

Если ваша организация хочет себя обезопасить и сохранить свои данные, то специалисты компании «АйТи Центр СПб» по обслуживанию компьютеров рекомендуют регулярно производить резервные копии и создавать образы операционных систем.

Наша компания может полностью взять на себя все заботы пообслуживанию компьютерной техники в организации. Вам стоит только заключить с нами договор наабонентское обслуживание компьютерной техники и все ваши проблемы по обеспечению безопасности данных станут нашими.

8 (800) 301-24-94

info@itcenterspb.ru

© 2020 Компания АйТи Центр СПБ. Все права защищены.

Image