Oprogramowanie ransomware SynAck znane jest od jesieni 2017 r. W grudniu jego celem byli głównie użytkownicy anglojęzyczni. Wykryty przez badaczy z Kaspersky Lab nowy wariant jest znacznie bardziej wyrafinowany. Technika tworzenia sobowtórów procesów (Process Doppelgänging), którą przedstawiono w grudniu 2017 r., polega na wstrzykiwaniu kodu bezplikowego, który wykorzystuje wbudowaną funkcję systemu Windows oraz nieudokumentowaną implementację modułu ładującego procesy w tym systemie operacyjnym. Poprzez manipulowanie sposobem obsługi transakcji plików przez system Windows atakujący mogą sprawić, aby niebezpieczne działania wyglądały na nieszkodliwe, legalne procesy, nawet jeśli wykorzystują znany szkodliwy kod. Omawiana technika nie pozostawia żadnego widocznego śladu, przez co tego rodzaju ingerencja jest niezwykle trudna do wykrycia. Jest to pierwsze oprogramowanie ransomware zaobserwowane na wolności, które wykorzystuje tę technikę.

Inne istotne cechy nowej wersji trojana SynAck:

• W przeciwieństwie do większości programów ransomware, które pakują swój kod wykonywalny, trojan zaciemnia go, utrudniając badaczom odtworzenie i analizę szkodliwego kodu.
• Szkodnik zaciemnia również odsyłacze do niezbędnej funkcji API i zamiast właściwych ciągów przechowuje ich skróty.
• Po instalacji trojan sprawdza katalog, z którego uruchamiany jest jego plik wykonywalny, i jeśli zauważy próbę uruchomienia go z „niewłaściwego” katalogu – takiego jak potencjalna zautomatyzowana piaskownica wykorzystywana przez analityka – kończy działanie.
• Szkodnik kończy również działanie bez wykonania, jeśli na klawiaturze komputera ofiary ustawiono stosowanie cyrylicy.
• Przed zaszyfrowaniem plików na urządzeniu ofiary SynAck porównuje skróty wszystkich uruchomionych procesów i usług z własną zakodowaną na stałe listą. Jeśli znajdzie dopasowanie, próbuje zakończyć proces. Zablokowane w ten sposób procesy dotyczą maszyn wirtualnych, aplikacji biurowych, interpreterów skryptów, aplikacji baz danych, systemów zapasowych, gier i innych – prawdopodobnie w celu ułatwienia przechwycenia cennych plików, które w przeciwnym razie mogłyby zostać zablokowane w uruchomionych procesach.

Badacze uważają, że ataki z użyciem nowej wersji szkodnika SynAck są ściśle ukierunkowane. Jak dotąd zaobserwowano ograniczoną liczbę ataków w Stanach Zjednoczonych, Kuwejcie, Niemczech i Iranie, w których żądano okupu w wysokości 3 tys. dolarów amerykańskich.

Źródło: Kaspersky Lab