Фахівці Emsisoft виявили ще один вимагач на JavaScript

На початку січня ми писали про знахідку security-компанії Emsisoft, яка виявила вимагач (ransomware), повністю написаний на JavaScript. Вимагач називався Ransom32. У новому випадку мова також йде про здирника на JavaScript, який отримав назву RAA. Шкідлива програма шифрує файли користувача з використанням симетричного алгоритму AES, а також встановлює в систему користувача іншу відому шкідливу програму — викрадач паролів Pony (Fareit). Антивірусні продукти ESET виявляють вимагач як JS/Trojandownloader.Agent.



На відміну від Ransom32, RAA не використовує для своєї роботи фреймворк NW.js. Цей фреймворк дозволяє розробляти програми на JavaScript для Windows, OS X та Linux. Для роботи з функціями шифрування RAA використовує криптографічну бібліотеку CryptoJS. Вона і використовується для шифрування файлів користувача. Встановлюється в систему користувача викрадач паролів Pony виявляється AV продуктами ESET як Win32/PSW.Fareit.A.

Шкідлива програма розповсюджується з використанням шкідливого вкладення в поштовому повідомленні. Це вкладення маскується під документ Word (.doc). Для маскування своїх шкідливих функцій, шкідлива програма скидає в директорію %userprofile%\documents спеціальний файл і намагається його відкрити з використанням WordPad.


Рис. Скидається на диск фальшивий пошкоджений документ (дані Emsisoft).

Для забезпечення свого виживання в системі після перезавантаження, вимагач прописується в відомий розділ Run системного реєстру. При цьому значення параметра вказує на шлях до оригінального дропперу.


Рис. Шкідлива програма створює параметр для своєї автозавантаження (дані Emsisoft).

Вимагач також видаляє сервіс тіньового копіювання тому Volume Shadow Service (VSS). Така операція виконується для того, щоб гарантувати неможливість відновлення оригінальних копій файлів користувачем після їх шифрування (настройка File History). В результаті цього, при спробі відновити файл на його попередню версію, операція завершується з помилкою, як і при спробі отримати доступ до функції відновлення системи (System Restore.


Рис. Повідомлення про помилку при спробі відновити зашифрований файл з використанням сервісу VSS (дані Emsisoft).


Рис. Функція видалення сервісу VSS (дані Emsisoft).

Наступним кроком є процес шифрування файлів з використанням бібліотеки CryptoJS. Зашифровані файли отримують додаткове розширення .locked.


Рис. Функція шифрування (дані Emsisoft).

Вимагач шифрує файли з наступними розширеннями .doc, .xls, .rtf, .pdf .dbf, .jpg, .dwg, .cdr, .psd .cd ..mdb .png .lcd, .zip .rar .csv. Файли, які містять у назві символи ".locked", "~" або "$" пропускаються.


Рис. Список розширень файлів для шифрування і виключаються з присутніх в іменах рядках (дані Emsisoft).

Файли, які містяться в наступних директоріях, виключаються з процесу шифрування Program Files, Program Files (x86), Windows, Recycle.Bin, Recycler, AppData ,Temp, ProgramData і Microsoft.


Рис. Список директорій для виключення (дані Emsisoft).

Повідомлення про викуп зберігається в спеціальному файлі !!!README!!![unique ID].rtf, який створюється на робочому столі. Від користувача вимагають викуп у розмірі 0,39 биткоинов або $250. Вміст файлу показано нижче.


Рис. Текст з інструкціями оплати викупу (дані Emsisoft).

На початку ми вказали, що вимагач виконує в системі користувача файл іншої шкідливої програми — Pony, яка представляє з себе викрадач паролів. Виконуваний файл Pony зберігається за наступним розташуванню %userprofile%\documents\st.exe. Він включений в JS-дроппер здирника і закодований з використанням base64. Шкідлива програма, що спеціалізується на крадіжці конфіденційних даних, таких як паролі від різних сервісів.

Зразки шкідливих програм мають наступні ідентифікатори SHA1:
RAA: 2c0b5637701c83b7b2aeabdf3120a89db1dbaad7
Pony: 822bf6d0eb04df65c072b51100c5c852761e7c9e

На жаль, розшифровка даних користувача, які були зашифровані RAA в даний час не представляється можливим, що, в черговий раз, говорить про важливість своєчасного використання резервного копіювання даних.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.