За разлика от другите рансъмуери, Sorebrect е ориентиран към корпоративните системи.

Тази програма внедрява вредоносен код, иницииращ процеса на криптиране, в легитимните системни процеси (svchost.exe), а след това се самоунищожава, за да не може да бъде открита.

Sorebrect получава достъп до идентификационните данни на администратора чрез метода на грубата сила и други техники. За криптирането на файловете се използва помощната програма за отдалечено изпълнение на команди Microsoft Sysinternals PsExec. Рансъмуерът сканира локалната мрежа за компютри със споделени папки. След това Sorebrect изтрива всички събития от журнала с помощта на wevtutil.exe, както и сенчестите копия на файловете в заразения компютър. Както и при другите компютърни вируси от подобен тип, Sorebrect използва Tor за за комуникация с управляващия сървър.

Експертите по информационна сигурност споделиха, че Sorebrect е специално разработен за атаки на предприятия от точно определени сфери – промишлена, технологична и телекомуникационна. Доскоро основни мишени на този рансъмуер са били някои организации в Близкия Изток – предимно в Кувейт и Ливан, но от месец май тази година бяха фиксирани атаки срещу предприятия и организации в Канада, Китай, Хърватия, Италия, Япония, Русия, Мексико, Тайван и САЩ.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за