Что такое Snatch Ransomware и как его удалить

Создается впечатление, что разработчики криминального ПО никогда не спят, пока укрепляется защита. Они всегда находятся в поиске различных способов оттачивания своего оружия нападения. Одним из самых последних методов является штамм программы-вымогателя, который может заставить устройство Windows перезагрузиться в безопасном режиме прямо перед началом шифрования, чтобы обойти защиту конечной точки.

Этот конкретный сорт известен как Snatch из-за его авторов, которые называют себя Snatch Team. Это было обнаружен исследователями Sophos Labsкоторые рассказали о своем открытии, а также о том, как такие банды взламывают предприятия и другие организации, включенные в их расстрельный список.

Мы собираемся объяснить, что такое программа-вымогатель Snatch, как она работает и как вы можете удалить ее со своих устройств.

Что такое Snatch Ransomware

Snatch — это новый вариант программы-вымогателя, исполняемый файл которого заставляет устройства Windows перезагружаться в безопасном режиме еще до того, как начнется процесс шифрования, чтобы обойти защиту конечных точек, которая часто не работает в этом режиме.

Обнаруженный исследователями SophosLabs и командой Sophos Managed Threat Response, Snatch Ransomware входит в число нескольких компонентов созвездия вредоносных программ используется в продолжающейся серии тщательно спланированных атак с обширным сбором данных.

Новый вид программы-вымогателя использует уникальный метод заражения, в котором применяется сложное шифрование AES, поэтому пользователи, чьи машины заражены, не могут получить доступ к своим файлам.

Программа-вымогатель Snatch впервые была заметно активна в апреле 2019 года, но была выпущена в конце 2018 года. всплеск зашифрованных файлов и заметок о выкупе привело к его открытию и последующим исследованиям группой исследователей из Sophos.

Его форма криптовируса атакует высокопоставленные цели, но этот новый штамм, созданный с использованием Google Go Программа включает в себя набор инструментов, включая функцию кражи данных и программ-вымогателей. Кроме того, у него есть Кобальтовый удар reverse-shell и другие инструменты, используемые пентестерами и системными администраторами.

Примечание:

Как работает программа-вымогатель Snatch

Как вирус, блокирующий файлы, программа-вымогатель Snatch не имеет связи с другими штаммами. Тем не менее, его разработчики выпустили девять вариантов угрозы, которые добавляют различные расширения после шифрования данных с помощью шифра AES.

Хитрость заключается в том, чтобы перезагрузить компьютеры в безопасном режиме, а затем программа-вымогатель ограничивает доступ к вашим данным, шифруя ваши файлы. После этого хакеры пытаются вымогать у вас деньги, требуя выкуп в виде биткойнов в обмен на разблокировку ваших файлов и предоставление доступа к данным.

Есть причина, по которой их трюк работает. Некоторые антивирусные программы не запускаются в безопасном режиме, и разработчики обнаружили, что они могут легко изменить раздел реестра Windows и просто загрузить вашу машину в безопасном режиме. Таким образом, программа-вымогатель работает незамеченной вашим программным обеспечением безопасности.

В первый раз, когда он устанавливается на ваше устройство, он проходит через SuperBackupMan, службу Windows, и настраивается непосредственно перед перезагрузкой компьютера, поэтому вы не можете вовремя его остановить.

После установки злоумышленники используют доступ администратора для запуска BCDEDIT, инструмента командной строки Windows, чтобы заставить ваш компьютер немедленно перезагрузиться в безопасном режиме.

Затем он создает исполняемый файл со случайным именем в вашей папке %AppData% или %LocalAppData%, который запускается и начинает сканирование букв дисков вашего компьютера в поисках файлов для шифрования.

Файлы, на которые нацелены программы-вымогатели Snatch

Он шифрует определенные расширения файлов, в том числе .doc, .docx, .pdf, .xls и многие другие, которые он заражает и меняет их расширения на Snatch, чтобы вы не могли открыть их снова.

Программа-вымогатель оставляет примечание к текстовому файлу Readme_Restore_Files.txt, требуя от одного до пяти биткойнов в обмен на ключ дешифрования с информацией о том, как связаться с хакерами, чтобы вернуть ваши файлы данных.

После того, как вымогатель полностью просканирует ваш компьютер, он использует vssadmin.exe, команду Windows для удаления всех теневых копий тома на нем, чтобы вы не могли восстановить и использовать их для восстановления зашифрованных файлов данных. Последним шагом является шифрование любых файлов данных на жестком диске.

В настоящее время зараженные файлы не поддаются расшифровке из-за сложной природы используемого шифрования AES. Однако у вас все еще есть спасательный круг, если ваш компьютер заражен путем восстановления файлов из самой последней резервной копии.

Программа-вымогатель Snatch нацелена на обычных пользователей через спам-письма. Но сегодня основными мишенями являются корпорации. Платя таким преступникам, вы не только теряете деньги и не имеете никаких гарантий, что они отправят вам ключ дешифрования, но это также побуждает их продолжать свои киберпреступления.

Если у вас нет обновленной резервной копии, вы ничего не можете сделать, кроме как ждать, пока эксперты по безопасности не придумают расшифровщик программ-вымогателей Snatch. Это может занять много времени, но есть и другие способы защитить себя от таких атак.

Как удалить Snatch Ransomware с вашего компьютера

Один из лучших способов удалить программы-вымогатели Snatch и другие вредоносные программы — установить хорошее антивирусное программное обеспечение, такое как Malwarebytes или SpyHunter, которое может сканировать, обнаруживать и устранять угрозу. Не все антивирусные механизмы могут его поймать, потому что это совершенно новое вредоносное ПО, поэтому рекомендуется сканировать его с помощью нескольких программ.

Вы можете защитить себя и свои устройства от атак программ-вымогателей, выполнив простые действия, такие как загрузка программного обеспечения из надежных источников и избегание открытия вложений электронной почты из ненадежных источников.

Другие способы, которыми вы можете защитить себя и свою организацию от Snatch и других типов программ-вымогателей, включают:

• Поддерживайте обновленную операционную систему и продолжайте создавать резервные копии своих данных.
• Проводите регулярный аудит паролей.
• Разверните многоуровневое комплексное программное обеспечение для обеспечения безопасности, чтобы защитить все точки входа от атак программ-вымогателей.
• Защита инструментов удаленного доступа и других уязвимых программ, поскольку злоумышленники Snatch нанимают других преступников, имеющих опыт использования веб-оболочек или способных взламывать SQL-серверы с помощью инъекционных атак.
• Защитите свой интерфейс удаленного рабочего стола, разместив его за VPN в вашей сети, чтобы люди не могли получить к нему доступ без учетных данных VPN.
• Проводите регулярные и тщательные проверки всех устройств в вашем доме или организации, чтобы убедиться, что они защищены и отслеживаются, поскольку Snatch использует такие точки доступа и плацдармы для получения доступа.
• Настройте и используйте многофакторную аутентификацию для всех администраторов в вашей организации, чтобы злоумышленники не могли взломать ваши учетные данные.
• Выполните полный поиск угроз в вашей сети, чтобы выявить любую подобную активность до заражения.

Защитите свою систему

Программа-вымогатель Snatch может показаться почти опасной для жизни, поскольку она парализует ваши файлы и устройства. Прежде чем вы подумаете об уплате выкупа, попробуйте выполнить описанные выше шаги, чтобы удалить угрозу, и всегда принимайте превентивные меры, чтобы эта и подобные угрозы не появлялись на вашем компьютере или в сети.

Далее: если вы подозреваете, что ваш телефон заражен программой-вымогателем, ознакомьтесь с нашей следующей статьей, чтобы узнать, как это обнаружить и удалить.