Эксперты «Лаборатории Касперского» обнаружили вирус-шифровальщик, получивший название Sodin, который требует выкуп в биткоинах, эквивалентный сумме 2500 долларов США.

Sodin использует уязвимость нулевого дня в Windows для повышения привилегий в зараженной ОС, а также использует для маскировки архитектурные особенности процессора, что нечасто встречается в вирусах подобного типа.

Sodin предположительно распространяется на черном рынке как RAAS (вымогательство-как-услуга, от англ. Ransomware-as-a-Service). Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Однако создатели Sodin оставили для себя лазейку, благодаря которой они имеют возможность расшифровывать файлы втайне от распространителей.

Кроме того, злоумышленники использовали редкую для программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-битный код на 32-битных процессорах. Такое решение затрудняет анализ вредоносного кода программами-отладчиками и усложняет обнаружение этого шифровальщика защитными решениями.

Эксперты «Лаборатории Касперского» предполагают, что в большинстве случаев методы распространения вируса не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники вычисляют серверы со слабой защитой и уязвимым программным обеспечением и незаметно для жертвы устанавливают вирус-шифровальщик в систему.

«Вирусы-вымогатели до сих пор остаются довольно распространенной угрозой. Однако данный экземпляр довольно сложная и редкая разновидность. Его уникальность заключается в использовании необычной техники — запуск 64-битного кода на 32-битных процессорах, а это сильно усложняет анализ вредоносного кода, а также его обнаружение защитными решениями. По нашим оценкам, в создание такого вируса было вложено немало ресурсов, а это означает, что его авторы, скорее всего, захотят окупить затраченные усилия. Следовательно, стоит ожидать всплеск числа атак Sodin», - рассказал старший антивирусный эксперт «Лаборатории Касперского» Фёдор Синицын.

Решения «Лаборатории Касперского» определяют этот вирус как Trojan-Ransom.Win32.Sodin и блокируют его активность. Уязвимость CVE-2018-8453, которую эксплуатирует Sodin, ранее использовала кибергруппировка FruityArmor. Патч для этой уязвимости был создан 10 сентября 2018 года.

Для того, чтобы избежать заражения шифровальщиком Sodin, эксперты «Лаборатории Касперского» рекомендуют:

  • следить за тем, чтобы используемое ПО регулярно обновлялось до самых новых версий;

  • не открывать подозрительные почтовые вложения и не переходить по сомнительным ссылкам, даже если их присылают знакомые;

  • использовать надёжные защитные решения;

  • регулярно делать резервные копии важных данных, которые желательно хранить отдельно (внешние носители, облачные хранилища и т.д.).