Несколько дней назад антивирусная лаборатория PandaLabs компании Panda Security обнаружила новый образец шифровальщика. Речь идет о новом образце CryptoBit, отличающимся некоторыми уникальными особенностями.
Если сравнивать его с другими известными образцами шифровальщиков, то мы можем сказать, что CryptoBit – это единственный в своем роде экземпляр. Он отличается от других шифровальщиков по многим причинам, но одна из главных особенностей – это появляющееся сообщение, которое инструктирует жертву о спасении своих файлов. В данной статье мы покажем и другие его дополнительные возможности.
АНАЛИЗИРУЕМЫЙ ОБРАЗЕЦ
Данный отчет основан на анализе следующего образца:
a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c (sha256)
Этот образец защищен благодаря «упаковщику» – трояну, который маскирует другой тип вредоносной программы. После его «распаковки» мы можем заметить, что в дополнение к дате последней компиляции (April 5, 2016 at 12:20:55 PM) наблюдается полное отсутствие строковых переменных – доказательство того, что автор CryptoBit любыми средствами пожелал затруднить анализ кода.
РАСПРОСТРАНЕНИЕ
Проанализировав данные, предоставленные «системами Коллективного разума» компании Panda Security, можно определить способы распространения CryptoBit, когда используются «наборы эксплойтов», которые поражают различные веб-браузеры.
ПОВЕДЕНИЕ
После того как было проанализировано поведение образца, мы смогли более точно определить основной способ работы CryptoBit:
Первое, что делает CryptoBit, — это проверяет настроенные языки клавиатуры. Если клавиатура настроена на использование одного из определенных кодов языков (0x1a7, 0x419 – русский или 0x43f — казахский), то программа не заканчивает шифрование файлов.
Убедившись, что языки клавиатуры не входят в их черный список, CryptoBit обращается ко всем локальным дискам, сетевым папкам и съемным устройствам (USB), осуществляя поиск файлов, которые содержат любое из атакуемых расширений. Какова цель? Зашифровать все содержимое файла для того, чтобы позже запросить его спасение.
В частности, CryptoBit интересуется следующими расширениями:
ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip
Как только начинается процесс шифрования файла, пользователь может увидеть на своем компьютере окно, подобное этому:
В этом сообщении мы видим некоторые моменты, которые могут быть использованы для классификации этого нового типа шифровальщика:
ID показан как «58903347»
Это значение для анализируемого образца всегда одинаковое. При этом не важно, запустите ли Вы данный шифровальщик повторно на этой же машине или Вы будете запускать его на других устройствах. Это говорит о том, что мы связаны с ID шифровальщика, а не конкретного пользователя (или компьютера).
Количество биткоинов, которые Вы должны заплатить
В целом, требуемое количество биткоинов фиксировано. В данном конкретном случае мы видим, что автор (или авторы) просят ежедневно возрастающий объем выкупа, что выглядит немного агрессивно.
Как связаться с «ними»
Пользователь не может связаться с хакером через веб-сервер, доступный по определенной ссылке, а «они» не просят у пользователя ничего особенного, по крайней мере, в настоящий момент.
Они просят пользователя связаться с ними при помощи электронной почты (например, torrenttracker@india.com). Если пользователь не получит ответ, то он может связаться с хакерами с помощью приложения под названием «Bitmessage», которое можно скачать на «GitHub».
Кроме того, если данного сообщения недостаточно для того, чтобы убедить пользователя, что его файлы зашифрованы, то каждый раз, когда он открывает папку с одним из файлов, который в настоящий момент не поддается расшифровке, пользователь также видит в этой папке еще два специально созданных файла:
OKSOWATHAPPENDTOYOURFILES.TXT
Если мы посмотрим на данный файл, то мы сможем найти такое же сообщение (в этом случае в текстовом формате), которое показывается пользователю после того как его файлы были зашифрованы.
sekretzbel0ngt0us.KEY
В этом втором файле мы видим шестнадцатеричную последовательность длиной в 1024, которая после раскодировки будет соответствовать двоичной последовательности в 512 байт (или 4096 бит).
Ниже будет показано значение файла под названием «sekretzbel0ngt0us.KEY», где шифрование использовалось для шифрования других файлов.
Еще одно действие CryptoBit, которое является видимым для пользователя, — это HTTP-запрос такого рода:
videodrome69.net/knock.php?id=58903347
Примечание: запрашиваемый скрипт «knock.php» не существует
ШИФРОВАНИЕ ФАЙЛОВ
Шифруя файлы для шифрования других файлов, при каждом запуске CryptoBit запускает алгоритм AES (случайный ключ длиной 32 байта или 256 бит), в результате чего практически невозможно расшифровать файлы, пока данная информация не будет известна.
Для того чтобы не потерять этот ключ, который позволяет расшифровать файлы после оплаты выкупа, автор данного шифровальщика хранит сгенерированный AES-ключ в зашифрованном виде с использованием алгоритма RSA.
Выбранный открытый ключ имеет длину 4096 бит, и мы нашли его «жестко закодированным» внутри анализируемого образца.
После шифрования AES-ключа с помощью RSA, он будет храниться в файле под названием «sekretzbel0ngt0us.KEY», и будет понятен только в том случае, если имеется соответствующий «закрытый ключ» RSA (который теоретически может быть только у автора шифра).
В этом разделе мы заметили специфическую особенность: отсутствие обращений к встроенным библиотекам, которые шифруют файлы с использованием алгоритма RSA. CryptoBit использует набор статически скомпилированных процедур, которые позволяют работать с «большими числами», что позволяет воспроизводить алгоритм шифрования RSA.
ВЫВОД
Как мы можем видеть, этот шифровальщик не выходит из моды. Ежедневно мы обнаруживаем новые образцы, которые все еще преподносят нам сюрпризы. В этом конкретном случае мы не были удивлены использованием «серьезной криптографии» (AES + RSA), что наблюдается все чаще и чаще, но мы обратили внимание на амбициозность данной угрозы и оценили ее хорошую разработку и интересные идеи.
Оригинал статьи: Be careful with CryptoBit, the latest threat detected
Комментарии (27)
PSecurity
21.04.2016 16:06+1Спасибо за актуальный вопрос. По распространению и заражению дополнительно задал вопрос в лабораторию (по описанию есть только предположения, что заражает не так, как обычные шифровальщики).
Как получу ответ, напишу.
Lokaha
21.04.2016 16:36вот и я так предположил) жду ответа, что-то нынче активизировались шифровальщик. видимо доходная вещь и защиты нету во многих местах из-за экономии.
PSecurity
22.04.2016 08:44Получил ответ из лаборатории. Информация по распространению, указанная в статье подтвердилась:
1. Данный шифровальщик распространяется не через почту, а через наборы эксплойтов, которые поражают браузеры (попадают через зараженные сайты).
2. Уникальные, необычные особенности данного шифровальщика:
• Особенности в отображаемом сообщении: инструкция о том, как связаться с кибер-преступником, что необычно для шифровальщиков, потому что большинство из них хостятся в сети TOR;
• Нет текстовых строковых переменных (string) — они удалены для того, чтобы затруднить анализ;
• Файлы шифруются полностью (на 100%);
• Есть уникальные особенности внедрения шифрования в этой угрозе — достаточно оригинальные решения, которые ранее не встречались ни разу. Безусловно, авторы этого шифровальщика обладают очень высоким уровнем знаний в данной области.
Понятно, что в статье и дополнительных ответах не раскрываются все детали и особенности, чтобы другим не повадно было создавать аналогичные произведения.Lokaha
22.04.2016 09:04спасибо. заражение через браузер — это огромный головняк.
PSecurity
22.04.2016 09:23Еще дополнения:
По поводу наборов эксплойтов. Заражение пользователя может осуществляться следующим образом:
• пользователь посетил вредоносный сайт
• пользователь посетил невредоносный сайт, но который был взломан и заражен или на этом сайте показывались вредоносные рекламные объявления, через которые мог загрузиться вредоносный эксплойт.
Т.е. получается, что сценарий заражения может быть таким: пользователь посетил какой-то сайт, откуда в скрытом режиме загрузился эксплойт. Далее через него уже в скрытом режиме загрузился троян, в котором был упакован шифровальщик. Все это происходит незаметно для пользователя.
Наши коллеги из PandaLabs продолжат анализировать шифровальщика, возможно, мы сможем узнать и какие-то другие способы распространения.
Кстати, в этом году ряд читателей сайта The New York Times оказались заражены также через вредоносные рекламные объявления.
Lokaha
22.04.2016 09:28а да кстати, а как он ведет себя если подключеные сетевые диски примонтированные и нет? лезет на них? пытается зайти на еще какие то доступные ресурсы в сети?
AlexBin
21.04.2016 16:55+2Нельзя ли расширения заражаемых файлов сортировать по алфавиту? Глаза сломать можно, а Ctrl+F ищет по всей странице и может перекинуть например в самый низ.
И я не понял, в чем уникальность. Типа другие шифровальщики не инструктируют жертву как спасти свои файлы?
Habetdin
21.04.2016 18:48Отсортированные расширения: 3ds 4db 4dd 7zip accdb accdt aep aes arj bpw cdr cer crp crt csv dbf dbx der doc docm docx dot dotm dotx dwfx dwg dwk dxf eml fdb gdb gho gpg gxk idx ifx iso jpg kdb kdbx key ksd max mdb mdf mpd mpp myo nba nbf nsf nv2 odb odp ods odt ofx p12 pdb pdf pfx pgp ppj pps ppsx ppt pptx prproj psd psw qba qbb qbo qbw qfx qif rar raw rtf saj sdc sdf sko sql sxc tar tax tbl tib txt wdb xls xlsm xlsx xml zip
AlexBin
22.04.2016 12:43Спасибо)) Я могу отсортировать, смысл вопроса был в том, не лучше ли в статье приводить сортированный список. Я понимаю, что он сгруппирован по типу файлов, но и в этом случае он сгруппирован плохо, глазами тоже нужно искать границу, где заканчиваются архивы и начинаются картинки.
RZimin
21.04.2016 17:41+1Спасибо за информацию.
Для тех, кому сложно понять текст после перевода Magic Gooddy — ссылка на оригинал.
Alexey2005
21.04.2016 21:17+4Вот интересно, хоть когда-нибудь хоть один из создателей шифровальщиков сядет?
А то как за пиратами с сачком гоняться и штрафовать их на триллионы долларов, так тут никогда проблем не возникает. Как закрыть очередную биткоин-биржу или торговую площадку, так правоохранительные органы на раз-два с этим справляются.
А вот в случае с шифровальщиками никакой реакции просто нету. Даже когда зашифровали данные на компах в каком-то полицейском управлении, и то не пытались создателей отловить, вместо этого спокойно выплатив деньги за расшифровку.
Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?2PAE
22.04.2016 13:09Э? У вас есть вопросы? СССР давно закончился. Полиция защищает интересы богатых.
orosz
22.04.2016 08:36+3Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?
Надеяться на правоохранительные органы РФ можно лишь в случае последней надежды, к сожалению.
Разрешите напомнить: «Спасение утопающих — дело рук самих утопающих — спасение утопающих — дело рук самих утопающих». (с) «Двенадцать стульев» (1928), гл. 34.
На мой взгляд обычного параноика, за систематическим увеличением количества шифровальщиков CryptoBit, кто-то настойчиво подталкивает обычных пользователей к ОБЯЗАТЕЛЬНОМУ резервному копированию данных.
iG0Lka
22.04.2016 12:36Почему в статье не указано как защититься от этого зловреда, а также есть ли лекарство?
Все ли броузеры подвержены?PSecurity
22.04.2016 12:45Рекомендация по защите одна:
поддерживайте Ваш антивирус или решение безопасности в обновленном состоянии и убедитесь, что у Вас имеются резервные копии Ваших самых важных файлов.
Лекарство от шифровальщиков — это расшифровка, которую делают (могут и не делать) преступники после получения оплаты…
Информации по уязвимости всех браузеров пока нет, но вопрос изучается в лаборатории.
whiplash
22.04.2016 17:22+1Причем тут антивирус вообще? Ни один антивирус не ловит 0-day версии свежих шифровальщиков)
iG0Lka
22.04.2016 15:40Антивирусом не пользуюсь т.к. при пользовании им порядка 15 лет, толку не заметил.
последние 5-6 лет была пара тройка заражений, антивирус не помог. Последние 3 года сижу без антивирусов. делаю регулярно бекап и проверку сканером. Заражений пока нет.
Но ситуация когда можно заразиться зайдя на какойнить сайт неприятная. но на сколько я понял от последнего зловреда антивирусы пока не спасют?
PSecurity
22.04.2016 15:46PandaLabs после обнаружения внесла в свои базы данный образец.
Соответственно, решения безопасности Panda должны блокировать запуск эксплойтов.
Про другие антивирусы ничего не могу сказать.
Lokaha
А как происходит заражение? все стандартно письма в почту с исполняемым файлом?