Что такое Snatch Ransomware и как его удалить

Похоже, что разработчики криминального ПО никогда не спят, когда растет защита. Они всегда ищут разные способы отточить свое оружие атаки. Один из последних методов - это программа-вымогатель, которая может заставить устройство Windows перезагрузитесь в безопасном режиме прямо перед началом шифрования, намереваясь обойти защиту конечных точек.

Этот конкретный сорт известен как Snatch из-за его авторов, которые называют себя командой Snatch. Это было обнаружено исследователями Sophos Labs, которые рассказали о своем открытии, а также о том, как такие банды взламывают предприятия и другие организации из своего списка.

Мы расскажем, что такое программа-вымогатель Snatch, как она работает и как удалить ее со своих устройств.

Также на Guiding Tech

Что такое Snatch Ransomware

Snatch - это новый вариант вымогателя, исполняемый файл которого заставляет устройства Windows даже перезагружаться в безопасном режиме. перед началом процесса шифрования в попытке обойти защиту конечных точек, которая часто не работает в этом режим.

Обнаруженный исследователями SophosLabs и командой Sophos Managed Threat Response, программа-вымогатель Snatch входит в число нескольких компонентов созвездия вредоносных программ используется в продолжающейся серии тщательно спланированных атак с обширным сбором данных.

В новый штамм вымогателей использует уникальный метод заражения, который применяет сложное шифрование AES, чтобы пользователи, чьи машины заражены, не могли получить доступ к своим файлам.

Программа-вымогатель Snatch впервые была заметно активна в апреле 2019 года, но была выпущена в конце 2018 года. Однако всплеск зашифрованных файлов и заметок о выкупе привело к его открытию и продолжению работы группой исследователей Sophos.

Его криптовирусная форма атакует высокопоставленные цели, но этот новый штамм, созданный с использованием Google Go Программа включает в себя набор инструментов, включая функцию кражи данных и вымогателей. Кроме того, в нем есть Кобальтовый удар reverse-shell и другие инструменты, используемые тестерами на проникновение и системными администраторами.

Примечание: Обнаруженный вариант Sophos может работать в Windows только в 32-битной и 64-битной версиях с 7 по 10 версии.

Как работает Snatch Ransomware

Как вирус-вымогатель Snatch не связан с другими штаммами. Тем не менее, ее разработчики выпустили девять вариантов угрозы, которые добавляют различные расширения после того, как данные зашифрованы с помощью шифра AES.

Хитрость заключается в том, чтобы перезагрузить машины в безопасном режиме, а затем программа-вымогатель ограничивает доступ к вашим данным, шифруя ваши файлы. После этого хакеры пытаются вымогать у вас деньги, вымогая выкуп в виде биткойнов в обмен на разблокировку ваших файлов и предоставление доступа к данным.

Есть причина, по которой их уловка работает. Некоторые антивирусные программы не запускаются в безопасном режиме, и разработчики обнаружили, что они могут легко изменить ключ реестра Windows и просто загрузить компьютер в безопасном режиме. Таким образом, программа-вымогатель работает незамеченной вашим программным обеспечением безопасности.

При первой установке на ваше устройство он проходит через SuperBackupMan, службу Windows, и настраивается непосредственно перед перезагрузкой компьютера, поэтому вы не можете вовремя остановить его.

После установки злоумышленники используют доступ администратора для запуска BCDEDIT, инструмента командной строки Windows, чтобы заставить ваш компьютер немедленно перезагрузиться в безопасном режиме.

Затем он создает исполняемый файл со случайным именем в папке% AppData% или% LocalAppData%, который запускается и начинает сканирование букв дисков вашего компьютера на предмет файлов для шифрования.

Также на Guiding Tech

Файлы, нацеленные на Snatch Ransomware

Он шифрует определенные расширения файлов, включая .doc, .docx, .pdf, .xls и многие другие, которые он заражает и меняет их расширения на Snatch, чтобы вы не могли открыть их снова.

Программа-вымогатель оставляет заметку в текстовом файле Readme_Restore_Files.txt, требуя от одного до пяти биткойнов. в обмен на ключ дешифрования с информацией о том, как общаться с хакерами, чтобы получить ваши файлы данных назад.

После того, как программа-вымогатель полностью просканирует ваш компьютер, она использует vssadmin.exe, команду Windows для удаления всех теневых копий томов на нем, чтобы вы не могли восстановить их и использовать их для восстановления зашифрованных файлов данных. Последний шаг - зашифровать любые файлы данных на вашем жестком диске.

В настоящее время зараженные файлы невозможно расшифровать из-за сложной природы используемого шифрования AES. Однако у вас все еще есть спасательный круг, если ваш компьютер заражен путем восстановления файлов из последней резервной копии.

Программа-вымогатель Snatch нацелена на обычных пользователей с помощью спама. Но сегодня главные цели - корпорации. Платя таким преступникам, вы не только теряете деньги и не имеете гарантии, что они отправят вам ключ дешифрования, но и побуждаете их продолжать свою киберпреступность.

Если у вас нет обновленной резервной копии, вы ничего не можете сделать, кроме как подождать, пока специалисты по безопасности не разработают дешифратор вымогателя Snatch. Это может занять много времени, но есть другие способы защитить себя от таких атак.

Как удалить Snatch Ransomware с вашего компьютера

Один из лучших способов удалить программы-вымогатели Snatch и другие вредоносные программы - это установить хорошее антивирусное программное обеспечение безопасности, такое как Malwarebytes или SpyHunter, которое может сканировать, обнаруживать и устранять угрозу. Не все антивирусные движки могут его отловить, потому что это совершенно новое вредоносное ПО, поэтому рекомендуется сканировать с помощью нескольких программ.

Вы можете защитить себя и свои устройства от атак программ-вымогателей, выполнив такие простые шаги, как загружать программное обеспечение из надежных источников и избегать открытия вложений электронной почты из ненадежных источники.

К другим способам защиты себя и своей организации от Snatch и других типов программ-вымогателей относятся:

• Поддерживайте обновленную операционную систему и продолжайте делать резервные копии своих данных.
• Регулярно проводите аудит паролей.
• Разверните многоуровневое комплексное программное обеспечение безопасности для защиты всех точек входа от атак программ-вымогателей.
• Защита инструментов удаленного доступа и других уязвимых программ, поскольку злоумышленники Snatch нанимают других преступников, имеющих опыт использования веб-шеллов или способных взламывать серверы SQL с помощью инъекционных атак.
• Защитите свой интерфейс удаленного рабочего стола, разместив их за VPN в своей сети, чтобы люди не могли получить к ним доступ без учетных данных VPN.
• Регулярно и тщательно проверяйте все устройства в вашем доме или организации, чтобы убедиться, что они защищены и контролируются, поскольку Snatch использует такие точки доступа и плацдармы для проникновения.
• Настройте и используйте многофакторную аутентификацию для любых администраторов в вашей организации, чтобы злоумышленники не могли подобрать ваши учетные данные.
• Выполните полный поиск угроз в своей сети, чтобы выявить любую такую ​​активность до заражения.

Также на Guiding Tech

Защитите вашу систему

Программа-вымогатель Snatch может показаться почти опасной для жизни с точки зрения того, как она парализует ваши файлы и устройства. Прежде чем подумать об уплате выкупа, попробуйте описанные выше действия, чтобы удалить угрозу, и всегда принимайте превентивные меры, чтобы эта и такие угрозы не появлялись на вашем компьютере или в сети.

Следующий: Если вы подозреваете, что ваш телефон заражен программой-вымогателем, ознакомьтесь с нашей следующей статьей, чтобы узнать, как ее обнаружить и удалить.