Фахівцями в сфері цифрової безпеки був виявлений новий вірус-шифрувальник Tycoon, який відрізняється від інших тим, що його абсолютно не помічають антивіруси. Ще одна відмінність нового вірусу – він не шифрує файли зараженого комп’ютера відразу після отримання до них доступу, а чекає команди до дії.
Найчастіше від цього вірусу страждають сфери освіти, розробники ПЗ і компанії малого та середнього бізнесу. Вірус був виявлений фахівцями під час роботи з відновлення інформації в одному із закладів освіти Європи.
Складність у виявленні Tycoon пояснюється тим, що вірус використовує маловідомий формат файлів Java, що утруднює виявлення до моменту шифровки файлів вірусом.
За словами фахівців, вірус починає діяти стандартно: через небезпечні RDP-сервери, «видимі» з інтернету. Після цього, алгоритм дії зловмисників змінюється – вони використовують ін’єкцію IFEO, чим забезпечують стійке присутність в системі, запускають бекдор і відключають антивіруси, встановлені в системі.
Після потрапляння в мережу компанії, хакери запускають модуль на Java, який шифрує всі файлові сервери, підключені до мережі, в тому числі – системи резервного копіювання. Фахівці відзначають, що зловмисники діють за допомогою формату файлів Java, який рідко використовується розробниками.
Після шифрування, Tycoon видаляє вихідні файли і переписує їх, щоб точно виключити можливість їх відновлення.