В Microsoft предупредили об опасности трояна-вымогателя PonyFinal

Троянская программа-вымогатель PonyFinal представляет серьезную опасность, несмотря на ручной метод установки, считают в подразделении по информационной безопасности (Security Intelligence) компании Microsoft. Об этом 27 мая сообщается в twitter подразделения.

Программное обеспечение (ПО) — вымогатель PonyFinal разработан на языке программирования Java. Она не может сама проникать в корпоративные сети и требует установки хакерами вручную.

Тем не менее, за последние два месяца от PonyFinal пострадало уже много организаций. В основном, в Индии, Иране и США. Притом загружают его чаще всего в сети медицинских организаций. Зачастую в комплекте с другим вредоносным ПО.

PonyFinal шифрует файлы. Зашифрованный вариант называется аналогично оригиналу, но с расширением «.enc» на конце. Шифрует PonyFinal файлы надежно. Сейчас не известно способов расшифровать такие файлы, не зная ключа. Дополнительно злоумышленники кладут на сервер файл README_files.txt, где описана схема оплаты выкупа.

В Microsoft отметили, что троян загружается злоумышленниками вручную. Они выбирают организации целенаправленно, подбирают пароли, добиваются получения доступа к командному интерфейсу PowerShell (командный интерфейс Windows, т. е. речь идет о поражении серверов на базе операционной системы от Microsoft).

Только после получения доступа к командной строке с повышенными привилегиями и убедившись, что действия в журнале событий не регистрируются, хакеры устанавливают PonyFinal на непосредственно атакованный и связанные сервера. Да и то при наличии среды исполнения Java (JRE) на сервере. Отмечены случаи, когда злоумышленники сами устанавливали JRE и только потом троянское ПО.

Несмотря на всю сложность попадания ПО-вымогателя в корпоративные сети, в Microsoft настоятельно порекомендовали обновить системы, и развернуть средства защиты от этого типа атак.