Kelerius metus namų vartotojus, įmones ir finansines institucijas šiurpinusio bankininkystės trojano „Dridex“ autoriai, pasirodo, yra atsakingi už ne mažiau garsų išpirkos reikalaujantį kenkėją „FriedEx“. Tai atskleidė saugumo sprendimų kūrėjos ESET tyrimas.
„FriedEx“, dar vadinamas „BitPaymer“, pirmą kartą buvo nustatytas 2017 m. liepos pradžioje. Po mėnesio išpirkos reikalaujantis kenkėjas smogė Škotijos valstybinėms ligoninėms: užkrėstų sistemų atstatymas užtruko kelias dienas, o ligoninių atstovai pripažino, kad dėl incidento teko atšaukti nedidę dalį suplanuotų procedūrų ir pacientų vizitų.
Pasak ESET tyrėjų, „FriedEx“ yra labiau skirtas aukštesnio lygio taikiniams ir įmonėms, nei namų vartotojams. Šis išpirkos reikalaujantis kenkėjas plinta per nuotolinio darbalaukio protokolo (RDP – remote desktop protocol) brutalias atakas. „FriedEx“ šifruoja kiekvieną failą su atsitiktiniu būdu generuojamu RC4 raktu, kuris vėliau šifruojamas naudojant 1024 bitų RSA viešąjį raktą ir išsaugomas faile „.readme_txt“.
Saugumo tyrėjai išanalizavo „FriedEx“ pavyzdžius, kuriuos ESET saugumo sprendimai nustato kaip „Win32/Filecoder.FriedEx“ ir „Win64/ Filecoder.FriedEx“, ir rado panašumų su bankininkystės trojanu „Dridex“. Abu kenkėjai naudoja tą pačią programų plitimo technologiją, siekiant kiek įmanoma maskuoti savo kenksmingą veiklą, tačiau detali analizė patvirtino tyrėjų spėjimą, kad tiek „FriedEx“, tiek „Dridex“ kenkėjų šeimas sukūrė tie patys programišiai.
Bankininkystės trojanas „Dridex“ pirmą kartą buvo nustatytas 2014 m. kaip gana paprastas botas, tačiau jo kūrėjai netrukus pavertė kenkėją kur kas galingesniu virusu. Pasak ESET tyrėjų, programišiai nuolat tobulina „Dridex“ ir išleidžia vis naujas jo versijas.
Štai 2017 m. trojanas buvo apginkluotas nauja užkrėtimo funkcija, pavadinta „Atom Bombing“, leidžiančia programišiams įterpti kenksmingą kodą į bet kurią „Microsoft Office“ versiją, net ir naujausią „Windows 10“. Pernai pasinaudojęs vartotojų laiku neatnaujinto „Microsoft“ programos „Word“ nulinės dienos pažeidžiamumu „Dridex“ užkrėtė milijonus kompiuterių.
Pasak saugumo ekspertų, programišių siekis panaudoti kuo daugiau kenkėjų galimybių tik atspindi šių dienų realijas. „Išpirkos reikalaujantys virusai vis dar yra „ant bangos“, tad nenuostabu, kad programišiai, sukūrę vieną pavojingiausių bankininkystės trojanų, ėmėsi naujos srities. Atsižvelgiant į tai, kaip programišiai nuosekliai tobulina „Dridex“, galime tikėtis dar ne vieno naujo kenkėjo“, rašoma ESET tinklaraštyje WeLiveSecurity.com.
„Apsaugoti savo kompiuterį ir kompiuterinį tinklą nuo išpirkos reikalaujančių kenkėjų galima tik nuolatos atnaujinant operacinę sistemą ir naudojamą programinę įrangą. Rekomenduojame naudoti daugiau funkcionalumų turinčias antivirusines programas, galinčias saugoti kompiuterį ne tik nuo virusų ir elektroninių šiukšlių, bet ir turinčias dvipusę ugniasienę, tinklo kontrolę, pašto filtrą bei apsaugą nuo šnipinėjimo programų ir botnet atakų. Būtina daryti rezervines duomenų kopijas bei laikyti jas ne tame pačiame kompiuteriniame tinkle, o bent jau atjungtoje nuo kompiuterio USB atmintinėje, geriausiai – debesyje“, – teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.