Ukraińcy są atakowani przez niebezpieczny wirus komputerowy: Microsoft powiedział, jak się chronić
Ofiary napotykały szkodliwe oprogramowanie przez godzinę, a ich lista zbiega się z Foxblade (znaną również jako HermeticWiper) i innymi atakami Rosji. Program otrzymuje dostęp do kont użytkowników, a następnie szyfruje pliki, dodaje rozszerzenie „ENC” i wymaga odkupienia w zamian za narzędzie do odszkodowania.
W celu otwarcia któregokolwiek z nich otwiera dokument „notatnik” z notatką od Malfactors: „Nie próbuj rozszyfrować swoich plików za pomocą oprogramowania zewnętrznego-może prowadzić do nieodwracalnej utraty informacji. Nie próbuj zmieniać lub zmieniać nazwy szyfrowanej pliki. stracisz je ”. Microsoft zidentyfikował kilka cech wirusa prestiżowego, który wcześniej nie pojawił się wśród ekspertów ds. Bezpieczeństwa cybernetycznego.
Uważają, że dystrybucja wojowników w przedsiębiorstwie nie jest powszechnym zjawiskiem na Ukrainie, a atak nie jest związany z żadną z 94 aktywnych grup śledzących Microsoft. Pomimo podobnych metod wdrażania, kampania prestiżowa różni się od ostatnich niszczycielskich ataków przy użyciu Aprilaxe (ArguePatch)/CaddyWiper lub FoxBlade (HermeticWiper), które w ciągu ostatnich dwóch tygodni dotknęły kilku krytycznej infrastruktury Ukrainy.
Wirus używa biblioteki Cryptopp C ++ do szyfrowania AES każdy odpowiedni plik. W procesie szyfrowania jedna wersja obudowy wykorzystuje następujące sztywno zaprogramowane klawisz otwarte RSA X509 (każda wersja Prestige może mieć unikalny klucz otwarty). Oprogramowanie usuwa również kopie zapasowe plików, aby nie można ich było zatrzymać za pomocą funkcji odzyskiwania systemu. Według Microsoftu atakujący rozpoczynają wirusa po wstępnym hakowaniu i dostępie do poświadczeń.