Специалистами в сфере цифровой безопасности был обнаружен новый вирус-шифровальщик Tycoon, который отличается от других тем, что его совершенно не замечают антивирусы. Еще одно отличие нового вируса – он не шифрует файлы зараженного компьютера сразу после получения к ним доступа, а ждет команды к действию.

Чаще всего от данного вируса страдают сферы образования, разработчики ПО и компании малого и среднего бизнеса. Вирус был обнаружен специалистами во время работы по восстановлению информации в одном из заведений образования Европы.

Сложность в обнаружении Tycoon объясняется тем, что вирус использует малоизвестный формат файлов Java, что затрудняет выявление до момента шифровки файлов вирусом.

По словам специалистов, вирус начинает действовать стандартно: через небезопасные RDP-серверы, «видимые» из интернета. После этого, алгоритм действия злоумышленников меняется – они используют инъекцию IFEO, чем обеспечивают устойчивое присутствие в системе, запускают бэкдор и отключают антивирусы, установленные в системе.

После попадания в сеть компании, хакеры запускают модуль на Java, который шифрует все файловые серверы, подключенные к сети, в том числе – системы резервного копирования. Специалисты отмечают, что злоумышленники действуют при помощи формата файлов Java, который редко используется разработчиками.

После шифрования, Tycoon удаляет выходные файлы и переписывает их, чтобы точно исключить возможность их восстановления.

Источник: kyiv.ukrainianwall.com