Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Die Dharma 2.0-Ransomware sorgt mit der neuen Variante weiterhin für Chaos

Zeitstempel: 30. März 2020, 12:23 Uhr

Lesezeit: 6 MinutenDas Comodo Cyber ​​Security-Team enthüllt das Innenleben der neuesten Sorte dieser anhaltenden Bedrohung

Das Comodo Cyber ​​Security-Team recherchiert ständig nach der neuesten Ransomware, um unsere Benutzer besser zu schützen und unsere Erkenntnisse mit den breiteren Netsec- und Antivirus-Communitys zu teilen. Heute möchten wir Sie über eine neuere Version des informieren Ransomware namens Dharma-Version 2.0.

Die Malware erschien erstmals 2016 unter dem Namen CrySIS. Es zielte auf Windows-Systeme ab und verschlüsselt die Dateien des Opfers mit starken AES-256- und RSA-1024-Algorithmen, bevor ein Lösegeld in Bitcoins gefordert wurde. Wie bei praktisch allen Arten von Ransomware können die Dateien ohne den Entschlüsselungsschlüssel nicht wiederhergestellt werden, und das Opfer muss das Lösegeld bezahlen, um den Schlüssel zu erhalten.

Der Dharma-Trojaner wird übertragen, indem er schwache Passwörter auf RDP-Verbindungen brutal erzwingt oder das Opfer dazu bringt, einen bösartigen E-Mail-Anhang zu öffnen. Bei der ersten Methode scannt der Angreifer Port 3389 nach Verbindungen, die das RDP-Protokoll verwenden. Sobald ein Ziel gefunden wurde, versucht der Angreifer, sich bei der Verbindung anzumelden, indem er automatisch verschiedene Passwörter aus einer riesigen Bibliothek bekannter Passwörter ausprobiert, bis eines davon funktioniert. Von dort aus hat der Angreifer die vollständige Kontrolle über den Zielcomputer und führt ihn aus Dharma-Ransomware manuell auf die Dateien des Benutzers.

Die letztere Methode ist ein klassischer E-Mail-Angriff. Das Opfer erhält eine E-Mail, die aussieht, als stamme es von seinem realen Antiviren-Anbieter. Es enthält eine Warnung zu Malware auf dem Computer und weist sie an, die angehängte Antivirendatei zu installieren, um die Bedrohung zu entfernen. Natürlich ist der Anhang kein Antivirenprogramm, sondern Dharma 2.0, das dann die Dateien des Benutzers verschlüsselt und ein Lösegeld verlangt, um sie freizuschalten.

Im Februar 2020, die Comodo Cyber ​​Security Team entdeckte die neueste Entwicklung davon Malware, Dharma 2.0. Diese Version enthält die Kernfunktion „Verschlüsselung dann Lösegeld“ früherer Versionen, enthält aber auch eine zusätzliche Hintertür, die Remote-Admin-Fähigkeiten gewährt. Schauen wir uns die Details von Dharma 2.0 mit Hilfe des Comodo Cyber ​​Security-Teams genauer an.

Prozessausführungshierarchie von Dharma 2.0

Der Ausführungsbaum der Malware wird im folgenden Screenshot gezeigt, wobei "Wadhrama 2.0.exe" am Anfang der Liste steht:

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Die Malware verwendet das Dienstprogramm für den DOS-Gerätemodus, um Informationen über die Tastatur des Opfers zu sammeln und alle Schattenkopien seiner Dateien zu löschen. Der Befehl 'vssadmin delete shadows / all / quiet' wird in der Ransomware häufig verwendet, um vorhandene Windows-Wiederherstellungspunkte zu löschen und dem Benutzer eine Sicherung seiner Dateien zu rauben:

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Wenn die Schattenkopien nicht mehr vorhanden sind, können Benutzer ihre Dateien nur wiederherstellen, wenn eine externe Sicherung von Drittanbietern vorhanden ist. Viele Unternehmen verfügen über solche Backups, eine alarmierende Anzahl jedoch nicht.

Nachdem alle Dateien auf dem Computer verschlüsselt wurden, benötigt der Angreifer nun eine Möglichkeit, dem Opfer seine Anweisungen mitzuteilen. Dazu wird 'mshta.exe' verwendet, um 'Info.hta' als automatische Ausführung mit dem Befehl zu öffnen

'C: UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartupInfo.hta'.

'Info.hta' ist die Datei, die den Lösegeldschein enthält:

"Alle Ihre Dateien wurden verschlüsselt!"

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Dynamische Analyse von Dharma 2.0

Wadhrama 2.0.exe erstellt zwei SQL-Dateien, 'about.db' und 'about.db-journal' in <% usersadministratorappdatalocaltemp%>. Es erstellt eine Kopie von sich selbst in <% system32%>, <% startup%> und fügt die Erweiterung '[bitlocker@foxmail.com] .wiki' am Ende aller verschlüsselten Dateien hinzu:

c: usersadministratorappdatalocaltempabout.db
c: usersadministratorappdatalocaltempabout.db-journal
c: windowssystem32Wadhrama 2.0.exe
c: usersadministratorappdataroamingmicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c: programdatamicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500desktop.ini.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: bootbootstat.dat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c: bootsect.bak.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-coffice64ww.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: config.sys.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-csetup.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: autoexec.bat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$r1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$i1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki

Statische Analyse von Dharma 2.0

Das Cybersicherheitsteam testete die Verschlüsselungskomplexität von Dharma 2.0, indem es drei identische 5-zeilige Textdateien mit folgendem Inhalt erstellte:

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Wir haben die drei Dateien als "autorun.inf", "boot.sdi" und "bootsect.exe" bezeichnet und an einen anderen Speicherort verschoben. Da alle Dateien denselben Typ, dieselbe Größe und denselben Inhalt haben, haben sie alle dieselbe SHA1-Signatur - 9ea0e7343beea0d319bc03e27feb6029dde0bd96.

Dies ist ein Screenshot der Dateien vor der Verschlüsselung durch Dharma:

Nach der Verschlüsselung hat jede Datei eine andere Dateigröße und Signatur:

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Dharma 2.0 Nutzlast

  • Dharma 2.0 erstellt zwei Datenbankdateien mit den Namen "about.db" und "about.db-journal" in "<% AppData%> \ local \ temp". Die Dateien sind SQLite-Dateien und enthalten Folgendes

Tabellen - 'Einstellung' und 'Keymap'. Die Datenbanken ermöglichen Remote-Administratorbefehle wie / eject / eject , / runas / runas , / syserr / syserr , / url / url ,

/ runscreensaver / runscreensaverd, / shutdisplay / shutdisplayd, / edithost / edithostsd,

/ restart / restard, / shutdown / shutdownd / logoff / logoffd, / lock / lockd, / quit / quitd, / config / configd

/ about / aboutd.

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

• Dharma 2.0 erstellt zwei Mutex-Objekte mit den Namen 'Global \ syncronize_261OR3A' und 'Global \ syncronize_261OR3U'. Mutex-Objekte begrenzen die Anzahl der Prozesse, die auf ein bestimmtes Datenelement zugreifen können. Dadurch werden die Daten anderer Prozesse effektiv gesperrt, sodass die Verschlüsselung ohne Unterbrechung erfolgen kann.

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

• Dharma 2.0 sucht nach den folgenden zu verschlüsselnden Dateierweiterungen:
◦ Dateiformate für persönliche Dokumente: 'doc (.doc; .docx, .pdf; .xls; .xlss; .ppt;)'
◦ Format der Archivdateien: 'arc (.zip; .rar; .bz2; .7z;)'
◦ Format der Datenbankdateien: 'dbf (.dbf;)'
◦ SafeDis-Verschlüsselungsdateiformat: '1c8 (.1cd;)'
◦ Bilddateiformat: 'jpg (.jpg;)'

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

• Es sucht auch nach bekannter Datenbank-, Mail- und Serversoftware:

◦'1c8.exe; 1cv77.exe ;look.exe; postgres.exe; mysqld-nt.exe; mysqld.exe; sqlservr.exe; '

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

◦'FirebirdGuardianDefaultInstance; FirebirdServerDefaultInstance; sqlwriter; mssqlserver; Sqlserveradhelper; '

Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

• Dhama 2.0 kopiert sich an drei verschiedenen Orten
◦ '% appdata%'
◦ '% windir% \ system32'
◦ '% sh (Startup)%'
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Es wird eine Pipe '% comspec%' mit dem Befehl 'C: \ windows \ system32 \ cmd.exe' erstellt:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Es werden Details zu Startdateien wie 'boot.ini', 'bootfont.bin' und anderen gesammelt:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Der Lösegeldnotiztext wird in einer Datei mit dem Namen 'FILES ENCRYPTED.txt' gespeichert:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• 'Info.hta', um dem Opfer die Lösegeldnachricht anzuzeigen:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Die Verschlüsselungserweiterung wird aus dem Puffer '. [Bitlocker@foxmail.com]' gezogen.
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Dharma erstellt dann eine verschlüsselte Version der Originaldatei mit der neuen Erweiterung:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Anschließend wird die Originaldatei gelöscht und die Schleife wiederholt, bis alle Laufwerke und Dateien verschlüsselt wurden. Die endgültigen, verschlüsselten Dateien sehen wie folgt aus:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.
• Dies ist die Lösegeldmeldung, die dem Opfer beim nächsten Start seines Computers angezeigt wird:
Die Dharma 2.0-Ransomware richtet mit der neuen Variante PlatoBlockchain Data Intelligence weiterhin Chaos an. Vertikale Suche. Ai.

Verwandte Ressource

  • Ransomware-Angriff
  • Ransomware-Schutzsoftware
  • Überprüfen Sie die Sicherheit der Website
  • Website-Backup
  • DDoS-Angriff
  • Website-Status
  • Website-Malware-Scanner
  • Website-Checker
  • Website-Sicherheitscheck

    • Die Post Die Dharma 2.0-Ransomware sorgt mit der neuen Variante weiterhin für Chaos erschien zuerst auf Comodo News und Internet-Sicherheitsinformationen.

    Zeitstempel:

    Mehr von Cybersicherheit Comodo