• Roman Sologub

Шифрувальник NamPoHyu віддалено шифрує сервери Samba

Нове сімейство шифрувальника під назвою NamPoHyu Virus або MegaLocker Virus атакує свої жертви дещо інакше, ніж інші шифрувальники. Замість того, щоб запускати шифрувальник на комп'ютері жертви, зловмисники запускають його локально на своїх системах і дозволяють йому віддалено шифрувати доступні сервери Samba.

Найчастіше звичайний шифрувальник доставляється на комп'ютер жертви через фішингові листи, переносні накопичувачі тощо. В даному випадку шифрувальник шукає доступні сервери Samba, брутфорсить паролі і віддалено шифрує їх файли.

Samba - це відкрита реалізація мережевого протоколу Server Message Block (SMB), що використовується для надання таких послуг, як спільне використання файлів і друку. Він працює в більшості систем з Unix і Unix-подібними операційними системами і дозволяє цим системам взаємодіяти з клієнтами на базі Windows.

Дослідники BleepingComputer повідомляють, що на даний момент є 500,000 неавторизованих і публічно доступних серверів Samba. Ці дані вони отримали через сервіс Shodan.


Доступні сервери Samba в Україні

Що стосується України, то тут дослідники компанії ISSP виявили 739 доступних Samba серверів. Серед організацій, які мають найбільшу кількість спрацьовувань, - Ukrtelecom, Triolan, Kyivstar, Uarnet і NTUU "KPI".


Результати пошуку доступних серверів Samba в Україні

Під час шифрування до розширення зашифрованих файлів додається розширення .NamPoHyu і створюється файл з вимогами викупу !DECRYPT_INSTRUCTION.TXT.


Зашифровані файли

Файл з вимогою викупу

Рекомендації

Щоб захиститися від даного виду шифрувальника, потрібно виконати наступні рекомендації:

- робити резервні копії систем;

- закрити всі порти в системах;

- не підключати служби віддалених робочих столів безпосередньо до Ін-тернет. Замість цього переконайтеся, що до них можна отримати доступ, тільки через VPN;

- проведіть оновлення всіх потенційно уразливих додатків;

- ведіть постійний моніторинг аномальної активності у вашій мережі;

- використовуйте спеціальне програмне забезпечення для поведінкового виявлення загроз і технології білих списків.

0 views
arrow&v

ვაშინგტონი
1300 I Street NW
400E, ვაშინგტონი
კოლუმბიის რაიონი,
20005
+1 202 749 8432

კიევი
10/14 რედისჩევის ქ., კიევი
უკრაინა,
03124
+380 44 594 8018

თბილისი
33 ბ, ილია ჭავჭავაძის გამზირი, 0179, თბილისი,
საქართველო

+995 32 224 0366

ვროცლავი
გრაბარსკის ქ.
1, 50-079 ვროცლავი,
პოლონეთი

+48 71 747 8705

ალმაატი
808V, შევჩენკოს ქ. 165B, 050009 ალმაატი,
ყაზახეთი

+7 727 341 0024

ვანკუვერი

Suite 2600, Three Bentall Center
ბურარდის ქუჩა 595, საფოსტო ყუთი 49314

ვანკუვერი BC V7X 1L3 კანადა

+1 289 968 4454

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners