Виявлений новий зразок шифровальщика CryptoBit



Кілька днів тому антивірусна лабораторія PandaLabs компанії Panda Security виявила новий зразок шифровальщика. Мова йде про новому зразку CryptoBit, відрізняються деякими унікальними особливостями.

Якщо порівнювати його з іншими відомими зразками шифрувальників, то ми можемо сказати, що CryptoBit – це єдиний у своєму роді примірник. Він відрізняється від інших шифрувальників з багатьох причин, але одна з головних особливостей – це з'являється повідомлення, яке інструктує про жертву порятунку своїх файлів. У даній статті ми покажемо і інші додаткові можливості.

АНАЛІЗОВАНИЙ ЗРАЗОК

Даний звіт заснований на аналізі наступного зразка:
a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c (sha256)

Цей зразок захищений завдяки «упаковщику» – трояну, який приховує інший тип шкідливої програми. Після його «розпакування» ми можемо помітити, що на додаток до дати останньої компіляції (April 5, 2016 о 12:20:55 PM) спостерігається повна відсутність строкових змінних – доказ того, що автор CryptoBit будь-якими засобами побажав ускладнити аналіз коду.

ПОШИРЕННЯ

Проаналізувавши дані, надані «системами Колективного розуму» компанії Panda Security, можна визначити способи поширення CryptoBit, коли використовуються «набори експлойтів», що вражають різні браузери.

ПОВЕДІНКА

Після того, як було проаналізовано поведінку зразка, ми змогли більш точно визначити основний спосіб роботи CryptoBit:



Перше, що робить CryptoBit, — це перевіряє налаштовані мови клавіатури. Якщо клавіатура налаштована на використання одного з визначених кодів мов (0x1a7, 0x419 – російська або 0x43f — казахська), то програма не закінчує шифрування файлів.

Переконавшись, що мови клавіатури не входять в їх чорний список, CryptoBit звертається до всіх локальних дисках, мережевих папок і знімних пристроїв (USB), здійснюючи пошук файлів, що містять будь-яке з атакованих розширень. Яка мета? Зашифрувати всі вміст файлу для того, щоб пізніше запросити його порятунок.

зокрема, CryptoBit цікавиться наступними розширеннями:
ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml, sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm) fdb csv, txt, zip

Як тільки починається процес шифрування файлу, користувач може побачити на своєму комп'ютері вікно, подібне до цього:



У цьому повідомленні ми бачимо деякі моменти, які можуть бути використані для класифікації цього нового типу шифровальщика:

ID показаний як «58903347»
Це значення для аналізованого зразка завжди однакове. При цьому не важливо, запустіть Ви даний шифрувальник повторно на цій же машині або Ви будете запускати його на інших пристроях. Це говорить про те, що ми пов'язані з ID шифровальщика, а не конкретного користувача або комп'ютера).

Кількість биткоинов, які Ви повинні заплатити
В цілому, необхідну кількість биткоинов фіксовано. У даному конкретному випадку ми бачимо, що автор (чи автори) просять щодня зростаючий обсяг викупу, що виглядає трохи агресивно.

Як зв'язатися з «ними»
Користувач не може зв'язатися з хакером через веб-сервер, доступний за певною засланні, а «вони» не просять у користувача нічого особливого, принаймні, зараз.

Вони просять користувача зв'язатися з ними за допомогою електронної пошти (наприклад, torrenttracker@india.com). Якщо користувач не отримає відповідь, то він може зв'язатися з хакерами з допомогою програми під назвою «Bitmessage», який можна завантажити на «GitHub».

Крім того, якщо цього повідомлення недостатньо для того, щоб переконати користувача, що його файли зашифровані, то кожен раз, коли він відкриває папку з одним з файлів, який в даний момент не піддається розшифровці, користувач бачить в цій папці ще два спеціально створених файлу:



OKSOWATHAPPENDTOYOURFILES.TXT

Якщо ми подивимося на даний файл, то ми зможемо знайти таке ж повідомлення (у цьому випадку в текстовому форматі), яке показується користувачеві після того як його файли були зашифровані.

sekretzbel0ngt0us.KEY
В цьому другому файлі ми бачимо шістнадцяткову послідовність довжиною 1024, яка після раскодировки буде відповідати двійкової послідовності в 512 байт (або 4096 біт).

Нижче буде показано значення файлу під назвою «sekretzbel0ngt0us.KEY», де використовувалося шифрування для шифрування файлів.

Ще одна дія CryptoBit, яке є видимим для користувача, — це HTTP-запит такого роду:
videodrome69.net/knock.php?id=58903347

Примітка: запитуваний скрипт «knock.php» не існує

ШИФРУВАННЯ ФАЙЛІВ

Шифруючи файли для шифрування файлів, при кожному запуску CryptoBit генерує алгоритм AES (випадковий ключ довжиною 32 байта або 256 біт), в результаті чого практично неможливо розшифрувати файли, поки ця інформація не буде відома.

Для того щоб не втратити цей ключ, який дозволяє розшифрувати файли після сплати викупу, автор даного шифровальщика зберігає AES-ключ, згенерований за допомогою шифрування, що використовує алгоритм RSA.

Вибраний відкритий ключ має довжину 4096 біт, і ми його знайшли «жорстко закодованим» всередині аналізованого зразка.

Після шифрування AES-ключа за допомогою RSA, він буде зберігатися у файлі під назвою «sekretzbel0ngt0us.KEY», і буде зрозумілий тільки в тому випадку, якщо є відповідний «закритий ключ» RSA (який теоретично може бути тільки у автора шифру).

У цьому розділі ми помітили специфічну особливість: відсутність звернень до вбудованих бібліотек, які шифрують файли з використанням алгоритму RSA. CryptoBit використовує набір статично скомпільованих процедур, які дозволяють працювати з великими числами», що дозволяє відтворювати алгоритм шифрування RSA.

ВИСНОВОК

Як ми можемо бачити, цей шифрувальник не виходить з моди. Щодня ми виявляємо нові зразки, які все ще підносять нам сюрпризи. У цьому конкретному випадку ми не були здивовані використанням «серйозної криптографії» (AES + RSA), що спостерігається все частіше і частіше, але ми звернули увагу на амбіційність даної загрози і оцінили її гарну розробку та цікаві ідеї.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.