Бесплатно Экспресс-аудит сайта:

08.09.2024

4096 оттенков шантажа: анатомия нового вымогателя в мире киберугроз

Эксперты обнаружили два вида файлов основного компонента программы-вымогателя Akira: меньший по размеру (573 KiB) и больший (1.005 KiB). Оба файла скомпилированы с использованием MSVC и не содержат методов обфускации. После запуска на устройстве жертвы происходит шифрование ценных файлов с изменением расширения на .akira. В каждой папке, где произошло шифрование, создаётся файл akira_readme.txt с требованием выкупа. Текст этого файла идентичен для всех версий программы, за исключением уникального кода для входа в чат с атакующими.

Программа использует мощный 4.096-битный ключ шифрования, который в меньших по размеру файлах представлен в формате base64, а в больших — в виде двоичного фрагмента. До начала шифрования файлов Akira пытается удалить снимки теневого копирования на устройстве, запуская процесс PowerShell через WMI. Команда для удаления теневых копий является статической, что упрощает её обнаружение.

Программа также использует API Restart Manager, что позволяет закрывать файлы, которые в данный момент заняты другими приложениями. Это API даёт возможность отключать процессы, блокирующие доступ к файлам, что помогает вымогателю продолжить работу. Важно отметить, что Akira не завершает сеансы API, что позволяет сохранять записи в реестре, предоставляя ценные данные для последующего анализа.

Интересной деталью является создание и удаление временных файлов с расширением .arika, что, вероятно, является ошибкой, допущенной разработчиками программы. Эти файлы могут представлять собой промежуточные данные, связанные с процессом шифрования, хотя их точное назначение требует дальнейших исследований.

Программное обеспечение для обеспечения безопасности не должно испытывать затруднений с обнаружением Akira, так как программа оставляет достаточно много следов в системе, включая статические строки и использование известных API, таких как Restart Manager.