что такое acronis static ml
Охота на кроликов: как Acronis борется с вредоносным ПО
Сложно найти, легко потерять и невозможно забыть — именно так выглядят глазами системного администратора данные на его сервере, а порой и рабочее место. И если на случай сгоревшего накопителя всегда найдётся резервная копия, то как быть, когда бэкап оказался зашифрован? Если к такому жизнь ещё не готовила, то пришло время учиться. И лучше не на своих ошибках, а у специалистов, тем более что и возможность имеется. 31 мая пройдёт вебинар от компании Aflex, посвящённый борьбе с программами-вымогателями. Подробности и суть явления — под катом.
На смену «привычным» вирусам и троянам приходит новая угроза: с каждым годом увеличивается число кибератак. По оценкам компании Check Point, сегодня в мире в среднем раз в четыре секунды скачивается одна вредоносная программа, и это в восемь с половиной раз чаще, чем год назад. Программы-вымогатели (ransomware) получили своё название вполне заслуженно. Попадая на устройство, они зашифровывают данные пользователя и выводят на экран требование о выкупе. При этом жертвами злоумышленников становятся как частные лица, так и крупные компании. Иными словами — каждый, кто готов заплатить за сохранность своих данных. А широкое распространение криптовалют позволяет получателю денег оставаться анонимным.
История болезни
Борьба между авторами вредоносного и антивирусного ПО обычно идёт на равных, но порой системы защиты не могут угнаться за человеческим фактором. Так, в конце 2016 года была обнародована одна из самых оригинальных схем распространения вируса-вымогателя. Хакеры просто пообещали пострадавшим бесплатный ключ расшифровки, если те заразят вредоносным ПО двух других пользователей. Не менее распространённым видом атак остались различные методы фишинг-мошенничества, которые становятся всё более персонализированными и эффективными. Появились и новые способы давления на владельцев заражённых компьютеров: современные технологии позволяют увеличивать размер выкупа и начинать удалять файлы каждый час, пока пользователь не заплатит. По прогнозам экспертов, уже скоро хакеры начнут угрожать распространением и публикацией конфиденциальных или даже компрометирующих данных, если жертва сразу не заплатит выкуп.
Письма несчастья
Заражение шифровальщиком почти всегда происходит по вине самого пользователя. Обычно всё начинается с электронного письма от имени знакомой организации. Внутри располагается файл с пометками «срочно в работу», «заявление», «ответить до…», который собственно и является шифровальщиком. Открыв такой файл, пользователь дает зелёный свет вирусу. Самыми популярными «отправителями» таких «писем счастья» оказываются налоговые или судебные органы, а также местная администрация — естественно, не настоящие. В почтовом адресе может быть изменена буква или другой символ. Например, [email protected], где буква «о» заменена на ноль — сразу и не отличишь. Во вложении — исполняемый файл, маскирующийся под документ или изображение. Если его активировать, шифровальщик тут же начинает работу.
Самые желанные адресаты для вымогателей — крупные корпорации, ведь именно они заинтересованы в восстановлении действительно важных данных. Особенно когда горит квартальный отчёт, акционеры требуют объяснений, а бухгалтерская база внезапно оказывается зашифрованной. Виновата обычно какая-нибудь «тётя из бухгалтерии», которая поверила в письмо из псевдоналоговой. Но достанется в итоге и сисадмину, который не проинформировал о потенциальной угрозе, не провёл ликбез для сотрудников компании и не настроил программное обеспечение. Впрочем, даже опытный специалист не застрахован от клика на вредоносный файл по невнимательности. Чтобы не тратить время и душевное здоровье на устранение последствий вируса, лучше заранее предупредить его проникновение в систему.
Эхо кибервойны
Казалось бы, методов защиты у сисадмина немало: это и управление правами доступа пользователей, и антивирусные продукты, и даже восстановление из бэкапа, если ничего не помогло. Но и киберпреступники не сидят сложа руки: они всё чаще атакуют не только ОС, но и локальные резервные копии, чтобы нельзя было восстановить систему, не заплатив выкуп. Линейка продуктов Acronis дополняет имеющуюся антивирусную защиту и обеспечивает дополнительный барьер от атак вирусов-шифровальщиков. Программа использует технологии искусственного интеллекта для обнаружения вредоносной активности и восстановления повреждённых данных. Технология Acronis Active Protection 2.0 самостоятельно обнаруживает и блокирует атаки программ-вымогателей (таких как Osiris и WannaCry) и мгновенно восстанавливает любые повреждённые данные, а также обнаруживает и блокирует попытки зловреда изменить главную загрузочную запись (MBR) системного жёсткого диска
Если программа-вымогатель начнёт шифровать файлы, Acronis Backup 12.5 быстро обнаружит и прекратит этот процесс. Система не только остановит вредоносные процессы, но и автоматически произведёт откат осуществлённых шифровальщиком действий и восстановление данных из локального кэша, хранящего копии модифицируемых файлов. Одновременно с этим системный администратор получит оповещение, а в консоли управления сформируется соответствующий отчёт, который может использоваться службами информационной безопасности для дальнейшего расследования инцидента.
Количество хакерских атак неуклонно растёт, и медлить с внедрением защиты ни в коем случае нельзя. Помимо привычных способов защиты данных, придётся и регулярно следить за обновлением и работой системы бэкапов. Только так получится добиться высокой эффективности и создать максимально надёжную и удобную для использования рабочую среду.
Сам по себе бэкап призван восстанавливать сервер после вирусной атаки. Но зачем проделывать лишнюю работу, если есть способ лучше? Как использовать систему резервного копирования для нанесения упреждающего удара, вы сможете узнать на бесплатном вебинаре от компании Aflex, который пройдёт 31 мая.
Что такое acronis_drive.exe? Это безопасно или вирус? Как удалить или исправить это
Что такое acronis_drive.exe?
acronis_drive.exe это исполняемый файл, который является частью Acronis True Image 2016 Программа, разработанная Acronis, Программное обеспечение обычно о 564.77 KB по размеру.
Acronis_drive.exe безопасный или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как acronis_drive.exe, должен запускаться из C: \ Program Files \ Acronis \ TrueImageHome \ acronis_drive.exe и нигде в другом месте.
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Наиболее важные факты о acronis_drive.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением acronis_drive.exe необходимо определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найдите его местоположение (оно должно быть в C: \ Program Files \ Acronis) и сравните его размер с приведенными выше фактами.
Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус acronis_drive.exe, необходимо Загрузите и установите приложение полной безопасности, например Malwarebytes., Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.
Могу ли я удалить или удалить acronis_drive.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Распространенные сообщения об ошибках в acronis_drive.exe
Наиболее распространенные ошибки acronis_drive.exe, которые могут возникнуть:
Как исправить acronis_drive.exe
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс acronis_drive.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Обновлен декабрь 2021:
Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.
Загрузите или переустановите acronis_drive.exe
Вход в музей Мадам Тюссо не рекомендуется загружать заменяемые exe-файлы с любых сайтов загрузки, так как они могут сами содержать вирусы и т. д. Если вам нужно скачать или переустановить acronis_drive.exe, то мы рекомендуем переустановить основное приложение, связанное с ним Acronis True Image 2016.
Информация об операционной системе
Ошибки acronis drive.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
Обзор Acronis True Image 2021. Это был мой любимый инструмент для резервного копирования
С компанией Acronis я знаком очень давно, и в своё время успел поучаствовать в развитии их продуктов в качестве тестировщика. Их старые версии приложений для резервного копирования мне очень нравились. Потом дизайн интерфейса начал больше целиться в обычного пользователя, вместо опытного. И, несмотря на то, что качество работы оставалось на прежнем уровне, со временем я перестал пользоваться приложениями этой компании.
Сегодня, спустя несколько лет после полного игнора развития продукта, я решил вернуться к когда-то любимому приложению и посмотреть, на что способны разработчики.
Что такое Acronis True Image
Acronis True Image — комплексное решение для резервного копирования разделов жёсткого диска, системы и данных с возможностью полного восстановления ОС на другом железе.
В последних версиях в True Image завезли ещё антивирус и защиту от утечек. А сайт вообще перестал ориентироваться на русскоязычную аудиторию. Несмотря на это, приложение полностью локализовано и доступно для покупки и оплаты российским пользователям.
Интерфейс
Разработчики Acronis True Image в попытках научить самого неопытного пользователя решили пойти до конца. Во время установки приложения открывается специальная страница с вводным обучением по приложению.
А во время работы с самой программой тут и там раскиданы подсказки. А самые непонятные разделы спрятаны за туториалом.
В самом же дизайне так же прослеживается стремление быть понятным простому обывателю. Я не говорю, что это плохо. Действительно, с каждой последующей версией пользоваться Acronis всё проще и проще без чтения файла со справкой. Большие понятные кнопки, коридорные мастера создания бэкапов — красота.
Но в версии 2021 из-за этого могут пострадать опытные пользователи. Потому что через мастер Резервного копирования больше нельзя создать некоторые типы бэкапов. Да и кнопка восстановления системы куда-то подевалась.
Как теперь быть? А все эти кнопки и возможности спрятаны в разделе Инструменты, о котором я расскажу ниже.
Резервное копирование
Здесь есть три раздела: резервное копирование, активность и восстановление.
С помощью мастера Резервного копирования можно создать резервную копию всего компьютера, отдельных разделов и дисков, папок, данных с мобильных устройств, инфы из MS Outlook и OneDrive.
И также появились некие Файлы для заверения. Это значит, что бэкап будет создан с применением технологии цепочки блоков Acronis True Image 2021, что гарантирует целостность бэкапа и защиту от внешних изменений. Это удобно для копий юридически важных документов.
При восстановлении из бэкапа с файлом заверения вы точно будете знать, что данные восстановлены именно из вашего исходного файла и его нигде не подменили по дороге.
Остальные типы бэкапов работают привычным образом. Вы выбираете диск, раздел или файл и выбираете место его хранения. Для любого типа бэкапа можно задать расписание со стартом по времени или событию, добавить уведомления о процессе бэкапа на почту, исключить какие-то данные из копирования.
А по окончании создания резервной копии можно выключить компьютер, удалить старые бэкапы, защитить бэкап паролем и многое другое.
В разделе Активность можно отслеживать работу восстановления и бэкапа всех видов.
В разделе Восстановление ожидаемо можно просмотреть все резервные копии с разделением по источнику. Конечно, поддерживается версионность бэкапов и поиск по ним. Нашли нужный бэкап — можно перейти к его восстановлению.
Защита
Это встроенный в Acronis True Image антивирус. Не знаю, чей движок используется сейчас, но раньше это был BitWarden.
В общем-то, если у вас уже есть антивирус или вы не верите в такую защиту, её можно легко отключить. Жалко, что она включена по умолчанию и вообще при установке нельзя отказаться от неё.
Архив
Если вы не знаете, для каких файлов следует делать резервное копирование, этот раздел для вас. Acronis автоматически сканирует папку пользователя и предлагает создать резервную копию файлов в ней. Можно настроить исключения, указать минимальный объём, на который нужно обращать внимание, и многое другое.
Круто, если вы храните документы в папке Документы. В противном случае этот раздел вам никак не поможет.
Синхронизация
Если прикупить место в облаке Acronis True Image, то вы сможете в реальном времени создавать резервные копии папок. Это своего рода Dropbox.
Данные из облака доступны на любом компьютере с установленным приложением или через веб-версию.
Инструменты
Для меня и опытных пользователей это наиболее интересный раздел. В него запрятали самые крутые штуки. Расскажу вкратце, что тут есть.
Клонирование диска создаёт клон — то есть посекторный бэкап жёсткого диска. Такой бэкап можно развернуть на другом жёстком диске.
Мастер создания загрузочных дисков. Если что-то пошло не так и система перестала загружаться, то Acronis True Image можно запустить с диска, восстановив любую информацию из резервной копии. В том числе и всю систему.
Acronis Universal Restore поможет восстановить систему на другом компьютере. При таком восстановлении учитываются различия железа и драйверов, и в теории вы сможете восстановить ОС на абсолютно другом компьютере.
Parallels Access — это аналог TeamViewer от Parallels. А Acronis, как известно, это часть Parallels.
Try&Decide — очень полезная штука. При включении инструмента создаётся снэпшот всей операционной системы. Вы, к примеру, устанавливаете какое-то потенциально опасное приложение и работаете с ним. При выключении инструмента у вас будет выбор — откатить систему до запуска Try&Decide или применить все изменения и продолжить работу как обычно.
Очистка системы — это аналог CCleaner. Просто чтобы почистить компьютер от всякого хлама.
Зона безопасности Acronis поможет создать специальный защищённый раздел диска для хранения бэкапов. Из него же можно будет загрузить компьютер, если система умрёт.
Acronis DriveCleanser служит для безопасного и полного уничтожения информации на компьютере. Поддерживается несколько алгоритмов, включая Метод Б. Шнайера, ГОСТ P50739-95, NAVSO P-5239-26 (MFM).
Для ознакомления с Acronis True Image пользователю даётся 30 дней. Платная версия на год начинается от €49,99 за один компьютер.
Именно этой версии вам, скорее всего, хватит для домашнего использования. В неё не входит облачное хранилище, которое всё равно можно купить отдельно.
В версии Advanced уже появляется 500 Гб облачного хранилища. А в Premium-версии можно получить от 1 ТБ и добавить бэкап с технологией блокчейна.
Каждая новая версия Acronis True Image меня немного расстраивает изменениями интерфейса в угоду их упрощения.
На самом деле внутри это всё такое же крутое приложение для решения любых задач по резервному копированию данных в домашних условиях. И я мало какой другой компании мог бы доверить эту задачу.
Программа-вымогатель Sodinokibi: детальное изучение
О программе-вымогателе Sodinokibi недавно говорили в новостях, но мало кто погружался в подробности о работе этого вредоносного ПО. Сегодня мы постараемся ближе познакомиться Sodinokibi, рассмотрим принципы работы вымогателя, чтобы обозначить приоритетные векторы защиты информационных систем от новой угрозы.
Авторы текста: Равикант Тивари и Александр Кошелев
Что мы знаем о Sodinokibi?
Sodinokibi скорее всего распространяется теми же самыми злоумышленниками, которые были известны атаками вымогателей из семейства GandCrab, которое, судя по сообщениям на подпольных форумах, больше не будет развиваться.
Sodinokibi использует уязвимость Oracle WebLogic (CVE-2019-2725), чтобы получить доступ к компьютеру жертвы. Попав в систему, вредоносное ПО старается запустить себя с расширенными правами, чтобы получить доступ ко всем файлам и ресурсам ПК без ограничения…
Sodinokibi старается не заражать компьютеры в Иране, России и других странах бывшего СССР.
Программа-вымогатель использует для шифрования пользовательских файлов алгоритмы AES и Salsa20. AES применяется для шифрования сессионных ключей, а также данных при отправке на сервер управления.
Пользовательские файлы шифруются при помощи Salsa20.
Для генерации и распространения ключей Sodinokibi использует алгоритм Diffie-Hellman на эллиптических кривых.
Попав на машину, вирус моментально удаляет все файлы из папки резервного копирования.
Как работает Sodinokibi?
Мы изучили один экземпляр Sodinokibi в нашей лаборатории. Программа-вымогатель была упакована кастомным упаковщиком. При этом, даже после успешной распаковки в коде не нашлось читаемых строк. Кроме этого ПО не импортирует никаких системных библиотек или API. Поэтому статическим антивирусам, которые используют сигнатуры на основе читаемых строк и таблицы импортируемых API, будет очень непросто обнаружить его.
Названия API и другие параметры были расшифрованы во время работы ПО при помощи алгоритма RC4. Для того, чтобы сделать обнаружения еще более сложным для антивирусов, эта программа-вымогатель совершает операции над строками, используя DJB-хэш, а не сами строки…
Инициализация
Sodinokibi начинает работу с создания динамической таблицы импорта. Первым делом программа убеждается в том, что она является единственной копией в системе методом проверки мьютексов. После проверки она расшифровывает при помощи RC4 конфигурацию JSON, которая хранится в файле программы и проверяет булево значение ключа “exp”. Если его значение равно “true”, Sodinokibi старается запустить эксплойт. В нашем сэмпле так и было, поэтому он исполнял функцию эксплуатации уязвимостей
Расшифрованная конфигурация JSON
Код, выполняющий запуск эксплойта, проверяет, было ли установлено обновление от 11 сентября 2018 (KB4457138) на компьютере. Этот патч устраняет множество уязвимостей, приведенных ниже. И если его нет на машине, Ransomware переходит к запуску 32- или 64-битного шеллкода в зависимости от платформы, на которой исполняется зловред. Мы полагаем, что программа-вымогатель пытается повысить привилегии до администратора при помощи CVE-2018-8440.
Snippet 1
Перечень уязвимостей, которые устраняет патч KB4457138:
Патч KB4457138 исправляет уязвимости:
Если в системе не обнаруживается уязвимость, и процесс продолжает работать на правах обычного пользователя, будет использована команда RUNAS, чтобы запустить другой инстанс, но уже с административными правами, а текущий, работающий с ограниченными привелегиями — завершить. Полный псевдокод приведен на скриншоте ниже.
После того, как Sodinokibi успешно запускается в режиме администратора, ПО проводит дополнительную предварительную проверку и уточняет значение ключа “bro” в конфигурации JSON и выясняет страну нахождения. Оно не будет пытаться заразить компьютеры из следующих стран, если таковые параметры местоположения были выставлены в настройках компьютера.
Уточнение языковых ID
После прохождения проверки вредоносное ПО прекращает процесс mysql.exe (если он был запущен), чтобы получить доступ к файлам MySQL и зашифровать их. После этого вымогатель удаляет теневые копии Windows при помощи vssadmin, а также отключает систему восстановления Windows Recovery при помощи bcdedit:
vssadmin.exe Delete Shadows /All /Quiet & bcedit /set
recoveryenabled No & bcedit /set
Перед тем, как зашифровать файлы пользователя Sodinokibi проводит поиск по всем файловым системам, включая сетевые папки, чтобы обнаружить каталоги с названием “backup”, и безвозвратно удаляет их. Интересно, что перед удалением самого каталога, зловред сначала заменяет контент во всех таких папках случайным набором байтов, чтобы сделать восстановление невозможным в принципе. К счастью, файлы Acronis Backup нельзя удалить так просто, потому что они защищаются на уровне ядра, специально, чтобы не допустить подобных действий со стороны программ-вымогателей.
Генерация ключей
Sodinokibi использует протокол генерации и обмена ключами Diffie–Hellman на эллиптических кривых (ECDH). Выработанные сеансовые ключи используются в алгоритмах симметричного шифрования.При этом шифрование разных типов данных происходит разными методами — AES и Salsa20.
AES используется для шифрования закрытого ключа из пары из закрытого и открытого ключа, которые генерируются локально на пользовательской машине. Также им шифруются данные при передаче по сети. Salsa20 используется для шифрования пользовательских файлов.
Sodinokibi содержит два разных открытых ключа, один из которых является частью конфигурации JSON, а второй — встроен в бинарный файл. Эти открытые ключи будут использованы для шифрования созданного на машине закрытого ключа. Конкретные этапы генерации ключей и шифрования выглядят следующим образом:
Шаг 1. Генерация сессионной пары из закрытого (секретного, случайного числа) и открытого ключа на локальной машине.
Генерация локальных закрытого и открытого ключей
Шифрование закрытого ключа из Шага 1 происходит при помощи открытого ключа из конфигурации JSON
Шаг 2. Генерация еще одной пары закрытого и открытого ключей.
Шаг 3. Используя закрытый ключ из Шага 2 и открытый ключ (значение pk key) из JSON генерируется общий ключ, а посе его хеширования получается симметричный ключ.
Генерация симметричного ключа при помощи общего ключа
Шаг 4. Генерация 16-битного IV ( инициализационнного вектора).
Шаг 5. Шифрование закрытого ключа, сгенерированного на Шаге 1, при помощи AES с ключом и IV, которые получились в ходе Шагов 3 и 4.
Шаг 6. Вычисление CRC32 для зашифрованного закрытого ключа, который получился на шаге 5.
Шаг 7. Добавление IV и CRC32 в конец буфера, содержащего зашифрованный закрытый ключ из Шага 5.
Шаг 8. Сохранение буфера в сопоставленный файл со смещением (пометка “sk_key” ).
Шифрование закрытого ключа из Шага 1 при помощи открытых ключей злоумышленника
Шифрование закрытого ключа из Шага 1 при помощи открытого ключа, содержащегося в бинарном файле.
Шаг 9. Повторение шагов со 2 по 7 с использованием другого открытого ключа, который был встроен в бинарный файл на Шаге 3.
Шаг 10. Сохранение буфера в сопоставленный файл со смещением в памяти (отметка “0_key”)
sk_key, 0_key и pk_key записываются в реестр соответствующим образом, в зависимости от полученных программой прав доступа…
HKLM\SOFTWARE\recfg\sk_key или HKCU\SOFTWARE\recfg\sk_key
HKLM\SOFTWARE\recfg\0_key или HKCU\SOFTWARE\recfg\0_key
HKLM\SOFTWARE\recfg\pk_key или HKCU\SOFTWARE\recfg\pk_key
Зашифрованный секретный ключ в реестре
Генерация ключей для отдельных файлов с Salsa20
Шаг 11. Генерация новой пары из открытого и закрытого ключа.
Шаг 12. Генерация общего ключа с использованием открытого ключа сессии, созданного на Шаге 2, и хэширования для получения очередного симметричного ключа, необходимого для генерации ключей в Salsa20.
Шаг 13. Установка ключа 256-бит (32 байт) в Salsa20
Шаг 14. Генерация 8-битного IV для ключей Salsa20
Шаг 15. Генерация ключа Salsa20
Шаг 16. Использование Salsa20 key_state для шифрования пользовательских файлов при помощи Salsa20.
Генерация ключей Salsa20 для каждого файла
Повторение Шагов 11 — 16 для каждого шифруемого файла.
Иллюстрация шифрования и дешифрования
Чтобы лучше понять, как ключи генерируются и передаются между компьютерами злоумышленника и жертвы, нужно разобраться, как работает алгоритм Diffie Hellman — это несложно сделать по иллюстрации.
Процесс шифрования
Обмен ключами Diffie-Hellman на эллиптических кривых (ECDH)
Подробное описание процесса шифрования в Sodinokibi
Для того, чтобы расшифровать данные, потребуются закрытые ключи злоумышленника. Но они нигде не публикуются, и поэтому восстановить файлы оказывается невозможно.
Процесс дешифрования (секрет злоумышленника — это его закрытый ключ)
Упрощенно процесс дешифрования пользовательских файлов проиллюстрирован ниже.
Шифрование файлов на локальных жестких дисках и в сетевых папках
Для шифрования пользовательских файлов Sodinokibi использует I/O Completion Ports и запускает несколько потоков шифрования, но не более чем вдвое превышающее количество ядер процессора на машине, ассоциируя эти потоки с специально созданным портом I/O. Эти потоки используют функцию GetQueuedCompletionStatus Win API, чтобы дождаться поступления пакета на порт I/O перед началом шифрования файла.
Как только потоки создаются и переходят в ожидание поступления пакетов I/O, Sodinokibi начинает перебирать файлы пользователя на всех локальных дисках и во всех сетевых папках, исключая CDROM и RAMDISK и назначать их соответствующим I/O completion ports. Для всех файлов, которые не попадают под перечень исключений в названиях папок, файлов и расширениях вызывается функция AddFileToIoCompletionPort и затем PostQueuedCompletionStatus Это передаёт выполнение потоку шифрования, который ждет информации на I/O completion port, чтобы запустить шифрование файлов.
Функция AddFileToIoCompletionPort также генерирует уникальный ключ Salsa20 для каждого файла, который подлежит шифрованию, и передает ключ Salsa20 потоку шифрования вместе с другими метаданными, которые должны быть записаны после шифрования при помощи параметра lpOverlapped функции PostQueuedCompletionStatus Win API.
После обработки файлов в каждом каталоге, кроме являющихся исключением, создается файл с требованием о выкупе. Когда файлы, подлежащие шифрованию, кончаются, потоки переходят в зацикливание и ждут, пока общее количество зашифрованных и переименованных файлов не достигнет общего количества файлов, переданных на I/O completion port.
Наконец, система устанавливает флаг, который отражает, что больше нет файлов для шифрования и посылает несколько пакетов I/O, сигнализирующих о завершении процесса. Благодаря этому достигается прекращение работы дополнительных потоков шифрования, которые находились в ожидании данных.
После этого поток переименовывает файл, добавляя к названию случайно сгенерированное название. Файлы шифруются алгоритмом Salsa20 при помощи функции EncryptAndWrite.
Ниже приведен пример вызова функции EncryptingThreadRoutine.
Структура файлов после шифрования
Структура зашифрованного файла
Сетевая активность
После завершения процесса шифрования, программа-вымогатель готовит данные для отправки на сервер управления. Данные включают в себя различные поля из конфигурации JSON, системную информацию и ключи шифрования. Подготовленные данные также записываются в реестр под ключом “[HKLM|HKCU]\SOFTWARE\recfg\stat”, прежде чем они будут зашифрованы AES и отправлены на сервер злоумышленника…
Передача данных по сети
Название домена состоит из: sochi-okna23[.]ru + часть адреса 1
Требование выкупа
В Sodinokibi имеется шаблон для составления требования о выкупе, в котором оставлены места для пользовательских данных. В них происходит автоматическая подстановка имени, user id (uid – описание приведено выше) и ключа. Требование выкупа размещается в каждой директории, не считая исключений.
Дешифрование
Для этой программы-вымогателя нет бесплатного способа расшифровать данные, и единственная возможность восстановить данные — использовать сервис дешифрования, предоставленный злоумышленником. Перейти на него следуя инструкциям, приведенным в требовании о выкупе…
Заключение
Мы рекомендуем использовать продвинутые средства защиты от программ-вымогателей и своевременно обновлять антивирусные системы. Все продукты Acronis содержат улучшенную защиту от вымогателей и могут защитить вас от подобной атаки, минимизируя риск потерять данные.
Средства киберзащиты содержатся в персональном решении Acronis True Image 2019, а также в бизнес-системах Acronis Backup, которые сопровождаются anti-malware модулем на базе искусственного интеллекта, который называется Acronis Active Protection. Благодаря этому обе системы способны защитить пользователей от Sodinokibi.