Conti - wykryto morderczo szybki ransomware

Conti nie cieszy się jeszcze taką złą sławą, jak inne szkodniki ransomware, ale wszystko jeszcze przed nim - został wykryty dopiero wczoraj przez inżynierów z zajmującej się cyberbezpieczeństwem firmy Carbon Black. Jego działanie nie różni się od innych szkodników - szyfruje dane użytkownika i domaga się płatności. Nie jest to jednak szkodnik, który działa samoczynnie - o jego ataku decyduje przestępca, co sugeruje badaczom, że Conti powstał w celu infekcji maszyn i sieci należących do władz. Ma także parę ulepszeń, wyróżniających go od podobnych intruzów. Najważniejszym jest możliwość wykorzystania do 32 wątków procesora, aby proces szyfrowania plików odbywał się błyskawicznie. Jest to dla przestępcy szczególnie praktyczne przy dużych ilościach danych. Wykorzystanie pełnej mocy procesora może pozwolić na wyprzedzenie działań programu antywirusowego, starającego się zatrzymać proces po jego wykryciu.

Conti może również uderzyć wyłącznie w zasoby korzystające z protokołu SMB, czyli udostępniane sieciowo, pozostawiając pliki na dysku w spokoju. To z kolei wywołuje zamieszanie - na firmowych maszynach działa część plików, jednak niektóre - nie. Jeśli te "niektóre" są używane sporadycznie, Conti może być niewidoczny nawet przez dłuższy czas.

Zobacz też: Xerox padł ofiara ransomware. Zdarza się największym

Kolejna unikalna zdolność szkodnika to szkodzenie w Windows Restart Manager. Jest to komponent systemu odpowiedzialny za odblokowanie plików przed restartem systemu. Gdy dobierze się do niego Conti, może go zmusić do dowolnego zamykania i odblokowywania procesów aplikacji, co pozwala szyfrować powiązane z nimi dane. Jest to - patrząc z perspektywy atakującego - szczególnie praktyczne przy serwerach z Windows Server, gdzie najważniejsze dane zarządzane są przez aplikacje baz danych, które bez przerwy działają w tle.