Conti принадлежит к так называемым «вирусам-вымогателям, управляемым человеком». То есть, сначала хакеры осуществляют целевую атаку на компьютерные сети государственных ведомств или крупных компаний, а затем уже запускают в работу вирус.
При этом для обеспечения скорости шифрования файлов Conti запускает сразу 32 потока. Многопоточные вирусы не уникальны, но такое количество потоков необычно. Еще одной особенностью является управление вирусом через консольный клиент. Например, вирус можно «натравить» на шифровку только сетевых каталогов, а файлы на локальном компьютере оставить без изменений.
«Таким образом, хакеры могут обеспечить точечный эффект даже в зараженной сети и атаковать, например, один определенный сервер. Кроме того, такая тактика позволяет вирусу дольше оставаться незамеченным», – рассказал технический директор по исследованиям атак в Carbon Black Брайан Баскин (Brian Baskin).
Еще одной изюминкой Conti является использование компонента Windows Restart Manager, который позволяет снять блокировку файла перед перезагрузкой. Таким образом вирус может зашифровать файлы, которые в обычном состоянии заблокированы другим процессом. Например, файлы баз данных. По словам специалистов Carbon Black, это действительно редкая техника.
Каки и прочие вирусы-вымогатели, Conti требует выплаты выкупа в биткоинах для получения инструмента расшифровки файлов. При этом на текущий момент способов расшифровать файлы без уплаты выкупа не существует.
Недавно сообщалось, что вирус-шифровальщик Avaddon использует макросы Microsoft Excel для распространения. Кроме того, в начале месяца стало известно, что пользователи MacOS подверглись атаке вируса EvilQuest.