З кожним днем ??зловмисники стають все винахідливішими і розробляють інноваційні, більш приховані техніки атак. Яскравим прикладом тому може служити нове сімейство безфайлові здирницькі ПО Sorebrect, недавно виявлене фахівцями компанії Trend Micro.

На відміну від інших шифрувальників Sorebrect орієнтований на корпоративні системи. Програма впроваджує шкідливий код, який ініціює процес шифрування, в легітимні системні процеси (svchost. exe) на цільовому комп'ютері, а потім самознищується, щоб уникнути виявлення.

Sorebrect отримує вхід до облікового запису адміністратора за допомогою методу брутфорс або інших технік і використовує Microsoft Sysinternals PsExec (утиліта для віддаленого виконання команд) для шифрування файлів. Як пояснили дослідники, PsExec дозволяє атакуючим віддалено виконувати команди без необхідності організації авторизації або перенесення вручну шкідливого ПО на віддалений комп'ютер.

Вимагач також сканує локальну мережу на наявність комп'ютерів з загальнодоступними папками. Потім Sorebrect видаляє всі записи в журналі подій (з допомогою wevtutil. exe), а також тіньові копії файлів на інфікованому комп'ютері. За аналогією з іншими шкідливими програмами Sorebrect використовує Tor для безпечної взаємодії з керуючим сервером.

За даними експертів, Sorebrect розроблений для атак на системи підприємств в різних сферах, в тому числі промислової, технологічної та телекомунікаційної. До недавнього часу основними мішенями атак були організації в країнах Близького Сходу, зокрема Кувейту і Лівану, однак з травня нинішнього року експерти почали фіксувати атаки, спрямовані на користувачів в Канаді, Китаї, Хорватії, Італії, Японії, Росії, Мексиці, Тайвані та США.

Здирницькі ПО - тип шкідливого програмного забезпечення, що блокує доступ до комп'ютера і вимагає натомість грошову виплату. Розмір викупу і причина блокування залежать від конкретного вірусу.

утиліта wevtutil. exe, починаючи з Windows 7, є стандартним компонентом системи і призначена для отримання списку імен журналів, управлінням їх конфігурацією, отримання списку джерел подій, установки або видалення видавців і журналів подій з маніфесту, отримання відомостей про стан журналу, а також для очищення, архівування і експорту журналів системи.