Распространяется он через фишинговые атаки, вредоносные веб-сайты и эксплуатацию уязвимостей, активно маскируясь под легитимные файлы.
По даннымэкспертов Resecurity, после проникновения в систему вирус использует различные методы для закрепления: копирует себя в разные каталоги, модифицирует реестр Windows и создаёт запланированные задачи для автоматического запуска при перезагрузке. DragonForce также стремится скрыть своё присутствие, удаляя системные журналы и отключая антивирусные программы, пишет Securitylab.
Для повышения уровня доступа злоумышленники применяют техники манипуляции токенами и запускают процессы от имени администратора. Вредоносный код проходит сложное шифрование и использует методы загрузки DLL с запутанными именами функций, что усложняет его обнаружение. Специалисты обнаружили в коде текстовые сигнатуры на китайском языке, что может указывать на международное происхождение угрозы.
Главная цель DragonForce — шифрование пользовательских данных с использованием алгоритмов AES-256 и RSA. После атаки файлы получают новый формат с расширением «.dragonforce_encrypted», а уникальный ключ шифрования остаётся в руках злоумышленников. Вирус также фиксирует информацию о системе жертвы, включая версию ОС, установленные программы и сетевые параметры, записывая её в лог-файл, расположенный в папке «C:\Users\Public\log.log».
Как и другие современные шифровальщики, DragonForce оставляет на рабочем столе и в заражённых директориях текстовый файл README.txt с инструкциями по оплате выкупа. Пострадавшие пользователи перенаправляются на анонимный сайт в даркнете, где им предлагают внести платёж в биткоинах.
Для распространения внутри сети вредонос использует эксплуатацию уязвимостей в протоколах RDP и SMB, а также похищенные учётные данные, позволяющие атаковать другие устройства. Эксперты связывают один из серверов управления с Ираном, но учитывая наличие китайских текстовых сигнатур в коде, можно предположить международное сотрудничество хакерских группировок.
Специалисты по кибербезопасности рекомендуют компаниям и пользователям регулярно обновлять системы, следить за сетевым трафиком и настраивать резервное копирование данных. Мониторинг сетевой активности, использование надёжных антивирусных решений и строгие политики безопасности могут снизить риск заражения подобным вредоносным ПО.