• Roman Sologub

Шифрувальник NamPoHyu віддалено шифрує сервери Samba

Нове сімейство шифрувальника під назвою NamPoHyu Virus або MegaLocker Virus атакує свої жертви дещо інакше, ніж інші шифрувальники. Замість того, щоб запускати шифрувальник на комп'ютері жертви, зловмисники запускають його локально на своїх системах і дозволяють йому віддалено шифрувати доступні сервери Samba.

Найчастіше звичайний шифрувальник доставляється на комп'ютер жертви через фішингові листи, переносні накопичувачі тощо. В даному випадку шифрувальник шукає доступні сервери Samba, брутфорсить паролі і віддалено шифрує їх файли.

Samba - це відкрита реалізація мережевого протоколу Server Message Block (SMB), що використовується для надання таких послуг, як спільне використання файлів і друку. Він працює в більшості систем з Unix і Unix-подібними операційними системами і дозволяє цим системам взаємодіяти з клієнтами на базі Windows.

Дослідники BleepingComputer повідомляють, що на даний момент є 500,000 неавторизованих і публічно доступних серверів Samba. Ці дані вони отримали через сервіс Shodan.


Доступні сервери Samba в Україні

Що стосується України, то тут дослідники компанії ISSP виявили 739 доступних Samba серверів. Серед організацій, які мають найбільшу кількість спрацьовувань, - Ukrtelecom, Triolan, Kyivstar, Uarnet і NTUU "KPI".


Результати пошуку доступних серверів Samba в Україні

Під час шифрування до розширення зашифрованих файлів додається розширення .NamPoHyu і створюється файл з вимогами викупу !DECRYPT_INSTRUCTION.TXT.


Зашифровані файли

Файл з вимогою викупу

Рекомендації

Щоб захиститися від даного виду шифрувальника, потрібно виконати наступні рекомендації:

- робити резервні копії систем;

- закрити всі порти в системах;

- не підключати служби віддалених робочих столів безпосередньо до Ін-тернет. Замість цього переконайтеся, що до них можна отримати доступ, тільки через VPN;

- проведіть оновлення всіх потенційно уразливих додатків;

- ведіть постійний моніторинг аномальної активності у вашій мережі;

- використовуйте спеціальне програмне забезпечення для поведінкового виявлення загроз і технології білих списків.

Просмотров: 0
arrow&v

Washington DC

1300 I Street NW

Suite 400E, Washington

District of Columbia, 20005

+1 202 749 8432

Kyiv

 

10/14 Radyscheva St., Kyiv

Ukraine, 03124

+380 44 594 8018

Tbilisi

 

33b Ilia Chavchavadze ave, 0179, Tbilisi, 

Georgia
+995 32 224 0366

Wrocław

 

1 Grabarska st., 50-079  Wrocław,

Poland

+48 71 747 8705

Almaty

808V, 165B Shevchenko St, 050009, Almaty,

Kazakhstan

+7 727 341 0024

k z @ i s s p . c o m

i n f o @ i s s p . c o m

Copyright © 2020 ISSP. All rights reserved.