02.01.2016 16:06
esetnod32 30 16800 Источник
Специалисты компании Emsisoft обнаружили вредоносную программу — вымогатель, которая написана на JavaScript. Она получила название Ransom32 и используется злоумышленниками для вредоносных кампаний, аналогичных распространению многих других семейств такого типа вредоносного ПО. Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.



Использование JavaScript делает вымогатель кроссплатформенным, он может использоваться как для Microsoft Windows, так и для Linux и Apple OS X. Ключевой особенностью Ransom32 является модель распространения этого вымогателя для киберпреступников. Она представляет из себя модель Software as a service (SaaS), при этом для получения доступа к административной панели управления вредоносной программой и ее генерации, им нужно всего лишь указать адрес своего кошелька Bitcoin.


Рис. Панель управления вымогателем Ransom32. Видно, что там указан адрес электронного кошелька оператора (владельца), статистика зараженных компьютеров, сумма уже полученных от пользователей средств, и настраиваемые параметры вредоносной программы. (Данные Emsisoft).

После нажатия на кнопку «Download client.scr», для оператора будет сгенерирован архив с файлами вредоносной программы с указанными им в панели управления параметрами. Этот архив имеет существенный размер, который составляет более 22MB. Размер явно превышает тот, который обычно используется для файлов других вредоносных программ и, как правило, не превышает 1MB.


Рис. Файлы вымогателя внутри самораспаковывающегося SFX-архива.

Вредоносная программа использует скриптовый язык WinRAR для автоматической распаковки содержимого архива в директорию с временными файлами пользователя, затем на исполнение запускается файл chrome.exe. Предназначение файлов из архива следующее.
  • «chrome» содержит копию лицензионного соглашения GPL.
  • «chrome.exe» представляет из себя приложение NW.js и содержит код вредоносной программы, а также среду (framework), необходимую для его успешной работы.
  • «ffmpegsumo.dll», «nw.pak», «icudtl.dat» и «locales» содержат данные, которые необходимы среде NW.js для работы.
  • «rundll32.exe» представляет из себя переименованную копию файла клиента Tor.
  • «s.exe» представляет из себя переименованную копию файла инструмента Optimum X Shortcut, который используется для создания и управления ярлыками на рабочем столе и меню пуск.
  • «g» представляет из себя конфигурационный файл вредоносной программы, данные для которого были указаны в панели управления.
  • «msgbox.vbs» представляет из себя небольшой скрипт, который отображает настраиваемый текст всплывающего окна (popup).
  • «u.vbs» представляет из себя небольшой скрипт, который получает список всех файлов в указанной директории и удаляет их.


Рис. Конфигурационный файл вредоносной программы в формате JSON.

Файлы NW.js представляет из себя специальную среду, которая позволяет разрабатывать приложения на JavaScript для Windows, Linux, OS X. Среда основана на популярных платформах Node.js и Chromium. Используя ее, разработчик может интегрировать свой скрипт в приложение для любой из этих платформ. Таким образом, злоумышленники могут просто адаптировать вымогатель для платформ Linux и OS X.

После исполнения файла вымогателя в системе, он извлечет из себя все вышеперечисленные файлы в директорию с временными файлами. Далее он копирует себя в директорию %AppData%\Chrome Browser. Файл s.exe используется для создания ярлыка в директории автозапуска пользователя с названием «ChromeService». Далее вредоносная программа запускает на исполнение файл клиента Tor для установления подключения со своим C&C-сервером на 85-й порт. После подключения к серверу, вымогатель отображает пользователю сообщение с требованием выкупа.


Рис. Сообщение с требованием выкупа.

После этого Ransom32 запускает процедуру шифрования файлов для следующих расширений.

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

При этом Ransom32 не пытается шифровать файлы в директориях, которые содержат в названиях следующие строки.
  • :\windows\
  • :\winnt\
  • programdata\
  • boot\
  • temp\
  • tmp\
  • $recycle.bin\

Шифрование файлов осуществляется с помощью симметричного алгоритма AES и 128-битного ключа в блочном режиме CTR. Новый ключ шифрования генерируется для каждого файла. Ключ шифруется с использованием алгоритма RSA и публичного ключа, который загружается с управляющего сервера в процессе первого подключения.


Рис. Фрагмент сетевого взаимодействия между вредоносной программой и C&C-сервером, когда последний посылает публичный ключ RSA (длина ключа помечена желтым, ключ зеленым) в ответ на отправку адреса кошелька биткоин (фиолетовый).

Зашифрованный публичным ключом ключ AES сохраняется вместе с данными зашифрованного файла. Вредоносная программа также предлагает жертве расшифровать один файл для демонстрации того, что злоумышленники действительно способны расшифровать файлы. При этом вредоносная программа отправит на управляющий сервер зашифрованный ключ AES указанного файла и получит расшифрованную версию ключа.

Для защиты своих данных от подобного рода вредоносного ПО мы рекомендуем регулярно обновлять операционную систему, своевременно выполнять резервное копирование данных и использовать антивирусное ПО.

Комментарии (30)


  1. lostpassword
    02.01.2016 21:16
    #8724447
    +2

    Далее вредоносная программа запускает на исполнение файл клиента Tor для установления подключения со своим C&C-сервером на 85-й порт. После подключения к серверу, вымогатель отображает пользователю сообщение с требованием выкупа.
    <...>
    После этого Ransom32 запускает процедуру шифрования файлов для следующих расширений.
    <...>
    Новый ключ шифрования генерируется для каждого файла. Ключ шифруется с использованием алгоритма RSA и публичного ключа, который загружается с управляющего сервера в процессе первого подключения.
    А если соединение с C&C-сервером установить не удастся, то ключ шифрования не будет загружен и файлы не будут зашифрованы?


  1. ComodoHacker
    02.01.2016 22:06
    #8724459
    +1

    Ну вот, теперь из-за этих уродов антивирусы начнут блокировать приложения на NW.js и Electron!


    1. ComodoHacker
      02.01.2016 22:08
      #8724461
      +1

      … Пока не научатся полноценно анализировать Javascript код. Интересно, кто из AV вендоров первый встроит себе V8?


      1. ANTPro
        02.01.2016 23:10
        #8724477

        Если я правильно помню, то уже 1-2 года назад что-то было реализовано (анализ JS). Возможно сейчас уже многие это умеют.


        1. ComodoHacker
          02.01.2016 23:37
          #8724489

          Насколько мне известно, есть JavaScript сигнатуры для анализа веб-трафика (в комплексных продуктах); и есть анализ вызовов WinAPI, не зависящий от того, откуда они дергаются. Анализ же нативного исполняемого кода на порядок более глубок, там возможна куча эвристик и т.д.

          Было бы здорово, если бы специалисты ESET пролили свет на этот момент.


        1. TrueMaker
          03.01.2016 09:04
          #8724635

          Есть анализаторы, но весьма глупые. Их можно атаковать под разными углами. Например циклами на миллионы итераций, чтобы анализатор затаймаутился и так далее. Мало того, их легко детектировать, а следовательно и не запускать зловред вообще и не попадаться на удочку.


  1. bogolt
    02.01.2016 22:55
    #8724471
    +2

    Таким образом, злоумышленники могут просто адаптировать вымогатель для платформ Linux и OS X.

    Напомнило старую шутку:
    a: а linux'вская версия gcc может exe'шник выдать?
    b: Может.
    b: g++ file.c -o file.exe
    b: ./file.exe — всё работает

    А главное адаптировать пользователей линукса чтобы они скачали какой-то scr файл, затем сделали chmod +x и затем выполнили ( подозреваю что еще и с рут правами ).
    А так да, адаптировать легко.


    1. AllexIn
      02.01.2016 23:17
      #8724479

      Зачем рут права?
      Документы у пользователя все под его учеткой, а значит шифровальщик до них доберется.
      Ну да, у вас будет рабочая не поврежденная ОС. Но это не спасет доки.


      1. bogolt
        02.01.2016 23:19
        #8724481
        +1

        Рут права затем, что привыкли уже люди так писать. Разумеется правильно написанная программа обдерет линукс пользователя не хуже чем любого другого. Но много ли их пишут, правильных то? Это во-первых. А во вторых как я уже говорил — на линукс систему нужно как-то попасть, и это как раз главная сложность, упускаемая в подобных новостях.


        1. AllexIn
          02.01.2016 23:35
          #8724487
          +3

          Попадет так, как большая часть вирусни попадает… Нужно будет некоторое ПО, скачают его из сомнительного источника, запустят… Получат результат.
          Если уж всякие sourceforge'и засветились на всовывании в дистры мусора, то вполне можно ожидать что неискушенному пользователю линукса, который не всегда обновляется через рпеозитории и уж тем более не занимается компиляцией из исходников, вирусня придет вполне традиционными способами.


      1. vitektm
        03.01.2016 01:39
        #8724569

        может затем, что без рут прав он не запустит файлы
        в папках C:\Users\%UserName% и %TEMP% %корень диска% %сменный носитель%
        Ну а если у вас еще не измена ассоциация на scr файлы, то мне вас жаль!

        Астрал Отчет вот хотят права админа… Ребята из Астрала, стыд и срам и пепел на вашу голову!!!


        1. AllexIn
          03.01.2016 10:15
          #8724659
          +2

          «рут права», «C:\»… вижу противоречия. :)))


  1. ComodoHacker
    02.01.2016 23:39
    #8724491

    В списке расширений нет .1cd; значит это не наших умельцев рук дело.


    1. mwizard
      03.01.2016 14:42
      #8724771

      А что такое .1cd? Что-то поиск сходу ничего внятного не выдал.


      1. CRImier
        03.01.2016 15:58
        #8724823

        Как это не выдал? =D Первый результат — файлы баз 1C.


        1. mwizard
          03.01.2016 18:41
          #8724907
          +1

          Ха, ну вы меня прям за живое зацепили. Смотрите, я специально собрал первые 10 результатов по каждому из запросов, которые я искал:

          По запросу ".1cd format":

          1. ICD-10 Coding Structure | CIHI
          2. G2N | ICD-10 Structure: Format of ICD-10-PCS
          3. [PDF]Format of ICD-10 PCS (Inpatient Procedural Coding)
          4. [PDF]The Differences between ICD-9 and ICD-10 — UnityPoint ...
          5. List of ICD-9 codes — Wikipedia, the free encyclopedia
          6. ICD-10-CM — Centers for Disease Control and Prevention
          7. [PDF]ICD-10-CM/PCS The Next Generation of Coding Fact Sheet
          8. Dzuma — (audiobook, Polish edition) 1CD (format mp3 ...
          9. [PDF]ICD-9 and ICD-10 Diagnosis Code Comparison — NCTracks
          10. What is ICD? What Opens a ICD? File Format List from ...


          По запросу ".1cd extension":
          1. File Extension 1CD — What is .1cd file? How to Open 1CD File
          2. file extension 1cd — Главная — Uol
          3. .1cd File Extension — Software to open 1cd files
          4. File Extension 1Cd — blogzentertainment
          5. Open file extension 1cd: 1CD???? — PC Pitstop
          6. ICD File — What is it and how do I open it? — File.org
          7. Open .1CD (Best)
          8. 1cd — Common File Extensions — awdit
          9. File Formats Recovered By PhotoRec — CGSecurity
          10. stricter check for .1cd file — testdisk — TestDisk & PhotoRec


          По запросу ".1cd description":
          1. Help. 2010 .1cd. CAM.dhrZ — Kickass Torrents
          2. Download Jai Veeru 2009 .1CD DVDRip.XviD Team IcTv ...
          3. Download Darling A Killer Love Story (2007) 1CD — DvDRip ...
          4. Win32/Filecoder.NCS | ESET Virusradar
          5. Win32/Filecoder.NCN | ESET Virusradar
          6. Trojan.Ransomcrypt.M | Symantec
          7. Download Not A Love Story.2011.(Audio Cleaned).1CD MC ...
          8. [PDF]Word Template — Check Point Blog
          9. Trojan.Encoder.398 — Dr.Web — innovative IT ...
          10. CryptoLocker-v3 Ransomware Hits Europe and USA ...


          По запросу ".1cd structure":
          1. Engineering Software Crack, Key, Licence Intergraph Smartplant
          2. SoftwareCK -> software.ck@gmail.com — eLumit
          3. Oil and Gas / Petrochemical / Petroleum and other… — Altova
          4. Topics from the 8th Annual UNCG Regional Mathematics and ...
          5. How can i build the simplest dc inverter? | Electronics and ...
          6. tool 1cd — acer 5620 игры мини футбол драйвера — Uol
          7. Intergraph Smart Plant 3D Suit v 8.0 2007 — openSUSE Forums
          8. tool 1cd — Uol
          9. Re: FREE DOWNLOAD POPULAR 2009's CRACKED SOFTWAR
          10. Re: crack engineering software very cheap price — The ...


          По запросу ".1cd file":
          1. .1cd File Extension — Software to open 1cd files
          2. ICD File — What is it and how do I open it? — File.org
          3. file extension 1cd — Главная — Uol
          4. File Extension 1CD — What is .1cd file? How to Open 1CD File
          5. Open .1CD (Best) — Open My Files
          6. Open file extension 1cd: 1CD???? — PC Pitstop
          7. 1cd — Common File Extensions — awdit
          8. jagadam srt file subtitles
          9. Download Jai Veeru 2009 .1CD DVDRip.XviD Team IcTv ...
          10. Jagadam srt file subtitles — gosubtitles.com


          Причем всевозможные «How to Open 1CD File» — это тупо дорвеи, которые предлагают очистить компьютер от ненужных файлов 1cd и скачать специальный 1cd universal viewer, и т.д. и т.п.


          1. ComodoHacker
            03.01.2016 20:28
            #8724967

            Надо было поискать просто 1cd в Яндексе.


          1. CRImier
            03.01.2016 22:20
            #8725025

            «1cd расширение», Гугл:
            1 результат
            =D

            Да и из Инкогнито выдаёт первым результатом даже на .1cd format. У Вашего Гугла какая локализация? Ох уж эта чёртова персонализация выдачи. Кстати, DDG на .1cd format выдал мусор, а на 1cd расширение — ту же ссылку первой.

            … Перечитал Ваши результаты, они какие-то очень странные 0_0


  1. zapolnoch
    03.01.2016 00:43
    #8724527
    +3

    Ждем антивирус на JavaScript


  1. ankh1989
    03.01.2016 02:08
    #8724573
    +2

    Это такой албанский вирус который просит, чтоб его установили и запустили с нужными правами? И вообще, все эти «скриптовый язык WinRAR» и «запускает процедуру шифрования» делают впечатление, будто статью писала то ли секретарша, то ли для слабоумных, то ли слухи о том, что гугл-переводчик научился постить статьи на хабр на самом деле не слухи (это я к тому, что половину буков из статьи можно выкинуть без потери смысла). Хотя статья любопытная.


    1. TheRabbitFlash
      03.01.2016 02:15
      #8724575

      Я уже писал за это вот тут. У ESET статьи пишут домохозяйки, которые не разбираются в проблеме. Слава богу, что их не пускают писать код для самого антивируса.


      1. AlexGechis
        04.01.2016 11:24
        #8725235

        Мне кажется, они разбираются в том, что пишут. Основная цель статьи — замотивировать людей, в том числе линукс и OSx пользователей, купить их антивирус, а с этим статья справляется на ура.


  1. crx
    03.01.2016 10:19
    #8724661

    Думаю что авторы русскоговорящие. По особенностям грамматических ошибок на скриншотах.


    1. CRImier
      03.01.2016 15:57
      #8724821

      Можно поподробнее? Просто мне так не кажется.


      1. crx
        04.01.2016 09:24
        #8725169

        Прямой же перевод с русского:

        you must send [...] to the next bitcoin address — вы должны отправить на следующий биткоин-адрес.


        1. CRImier
          06.01.2016 21:07
          #8727645

          Не думаю, что такая ошибка ограничена русским языком =)


      1. TheRabbitFlash
        05.01.2016 12:27
        #8726041

        нет такого bitcoin address. Есть bitcoin wallet adress :) Поэтому да, сдается мне, что crx все правильно сказал.


  1. Kovu
    05.01.2016 03:34
    #8725873

    Мне у DrWeb подход нравится — защищенное хранилище для ценных файлов (использование которого, конечно, не отменяет необходимости создания обычных резервных копий ценного) и мониторинг их изменений на случай, если какая-то гадость стала массово эти файлы изменять.


    1. Desem
      06.01.2016 07:12
      #8726793

      Не хочу никого обидеть и уж тем более разжечь холивар, но ДрВеб уже не торт, имхо
      Ну а по теме, Разруха-она не в клозетах, она в головах (с) Преображенский
      P.S. Прочитал про защищенное хранилище — бэкап? Вы серьезно? А у Вас настроен?


      1. Kovu
        06.01.2016 18:14
        #8727463

        Тоже не хочу разжечь холивар. Просто скажу, что на него как раз не так давно переполз, раньше не устраивал, а теперь да.
        Да серьезно. И защищенное хранилище юзаю, и облако, и на внешних дисках тоже есть.