Обнаружен новый образец шифровальщика CryptoBit

от автора

Несколько дней назад антивирусная лаборатория PandaLabs компании Panda Security обнаружила новый образец шифровальщика. Речь идет о новом образце CryptoBit, отличающимся некоторыми уникальными особенностями.
Если сравнивать его с другими известными образцами шифровальщиков, то мы можем сказать, что CryptoBit – это единственный в своем роде экземпляр. Он отличается от других шифровальщиков по многим причинам, но одна из главных особенностей – это появляющееся сообщение, которое инструктирует жертву о спасении своих файлов. В данной статье мы покажем и другие его дополнительные возможности.

АНАЛИЗИРУЕМЫЙ ОБРАЗЕЦ

Данный отчет основан на анализе следующего образца:
a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c (sha256)

Этот образец защищен благодаря «упаковщику» – трояну, который маскирует другой тип вредоносной программы. После его «распаковки» мы можем заметить, что в дополнение к дате последней компиляции (April 5, 2016 at 12:20:55 PM) наблюдается полное отсутствие строковых переменных – доказательство того, что автор CryptoBit любыми средствами пожелал затруднить анализ кода.

РАСПРОСТРАНЕНИЕ

Проанализировав данные, предоставленные «системами Коллективного разума» компании Panda Security, можно определить способы распространения CryptoBit, когда используются «наборы эксплойтов», которые поражают различные веб-браузеры.

ПОВЕДЕНИЕ

После того как было проанализировано поведение образца, мы смогли более точно определить основной способ работы CryptoBit:

Первое, что делает CryptoBit, — это проверяет настроенные языки клавиатуры. Если клавиатура настроена на использование одного из определенных кодов языков (0x1a7, 0x419 – русский или 0x43f — казахский), то программа не заканчивает шифрование файлов.

Убедившись, что языки клавиатуры не входят в их черный список, CryptoBit обращается ко всем локальным дискам, сетевым папкам и съемным устройствам (USB), осуществляя поиск файлов, которые содержат любое из атакуемых расширений. Какова цель? Зашифровать все содержимое файла для того, чтобы позже запросить его спасение.

В частности, CryptoBit интересуется следующими расширениями:

ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip

Как только начинается процесс шифрования файла, пользователь может увидеть на своем компьютере окно, подобное этому:

В этом сообщении мы видим некоторые моменты, которые могут быть использованы для классификации этого нового типа шифровальщика:

ID показан как «58903347»
Это значение для анализируемого образца всегда одинаковое. При этом не важно, запустите ли Вы данный шифровальщик повторно на этой же машине или Вы будете запускать его на других устройствах. Это говорит о том, что мы связаны с ID шифровальщика, а не конкретного пользователя (или компьютера).

Количество биткоинов, которые Вы должны заплатить
В целом, требуемое количество биткоинов фиксировано. В данном конкретном случае мы видим, что автор (или авторы) просят ежедневно возрастающий объем выкупа, что выглядит немного агрессивно.

Как связаться с «ними»
Пользователь не может связаться с хакером через веб-сервер, доступный по определенной ссылке, а «они» не просят у пользователя ничего особенного, по крайней мере, в настоящий момент.

Они просят пользователя связаться с ними при помощи электронной почты (например, torrenttracker@india.com). Если пользователь не получит ответ, то он может связаться с хакерами с помощью приложения под названием «Bitmessage», которое можно скачать на «GitHub».

Кроме того, если данного сообщения недостаточно для того, чтобы убедить пользователя, что его файлы зашифрованы, то каждый раз, когда он открывает папку с одним из файлов, который в настоящий момент не поддается расшифровке, пользователь также видит в этой папке еще два специально созданных файла:

OKSOWATHAPPENDTOYOURFILES.TXT

Если мы посмотрим на данный файл, то мы сможем найти такое же сообщение (в этом случае в текстовом формате), которое показывается пользователю после того как его файлы были зашифрованы.

sekretzbel0ngt0us.KEY
В этом втором файле мы видим шестнадцатеричную последовательность длиной в 1024, которая после раскодировки будет соответствовать двоичной последовательности в 512 байт (или 4096 бит).

Ниже будет показано значение файла под названием «sekretzbel0ngt0us.KEY», где шифрование использовалось для шифрования других файлов.

Еще одно действие CryptoBit, которое является видимым для пользователя, — это HTTP-запрос такого рода:
videodrome69.net/knock.php?id=58903347
Примечание: запрашиваемый скрипт «knock.php» не существует.

ШИФРОВАНИЕ ФАЙЛОВ

Шифруя файлы для шифрования других файлов, при каждом запуске CryptoBit генерирует алгоритм AES (случайный ключ длиной 32 байта или 256 бит), в результате чего практически невозможно расшифровать файлы, пока данная информация не будет известна.

Для того чтобы не потерять этот ключ, который позволяет расшифровать файлы после оплаты выкупа, автор данного шифровальщика хранит AES-ключ, сгенерированный с помощью шифрования, использующего алгоритм RSA.
Выбранный открытый ключ имеет длину 4096 бит, и мы нашли его «жестко закодированным» внутри анализируемого образца.

После шифрования AES-ключа с помощью RSA, он будет храниться в файле под названием «sekretzbel0ngt0us.KEY», и будет понятен только в том случае, если имеется соответствующий «закрытый ключ» RSA (который теоретически может быть только у автора шифра).

В этом разделе мы заметили специфическую особенность: отсутствие обращений к встроенным библиотекам, которые шифруют файлы с использованием алгоритма RSA. CryptoBit использует набор статически скомпилированных процедур, которые позволяют работать с «большими числами», что позволяет воспроизводить алгоритм шифрования RSA.

ВЫВОД

Как мы можем видеть, этот шифровальщик не выходит из моды. Ежедневно мы обнаруживаем новые образцы, которые все еще преподносят нам сюрпризы. В этом конкретном случае мы не были удивлены использованием «серьезной криптографии» (AES + RSA), что наблюдается все чаще и чаще, но мы обратили внимание на амбициозность данной угрозы и оценили ее хорошую разработку и интересные идеи.

ссылка на оригинал статьи https://habrahabr.ru/post/282135/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *