תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

תוכנות כופר Dharma 2.0 ממשיכות לעשות הרס עם גרסה חדשה

חותמת זמן: 30 במרץ 2020 12:23

זמן קריאה: 6 דקותצוות קומודו סייבר אבטחה חושף את פעולתו הפנימית של הזן האחרון של האיום המתמשך הזה

צוות Comodo Cyber ​​Security חוקר כל הזמן את תוכנות הכופר העדכניות ביותר כדי לעזור להגן טוב יותר על המשתמשים שלנו ולשתף את הממצאים שלנו עם קהילות netsec ואנטי-וירוס רחבות יותר. היום ברצוננו לספר לכם על גרסה חדשה יותר של ransomware נקרא Dharma גרסה 2.0.

התוכנה הזדונית הופיעה לראשונה בשנת 2016 תחת השם CrySIS. הוא התמקד במערכות חלונות ומצפין את קבצי הקורבן בעזרת אלגוריתמים AES-256 ו- RSA-1024, לפני שדרש כופר ב- Bitcoins. כמו כמעט כל זני הכופר, הקבצים אינם ניתנים לשחזור לחלוטין ללא מפתח הפענוח, ועל הקורבן לשלם את הכופר כדי לקבל את המפתח.

הסוס הטרויאני של Dharma מועבר על ידי הפעלת סיסמאות חלשות על חיבורי RDP, או על ידי קבלת הקורבן לפתוח קובץ מצורף דוא"ל זדוני. השיטה הראשונה כוללת את התוקף סורק את יציאת 3389 עבור חיבורים המשתמשים בפרוטוקול RDP. ברגע שנמצא מטרה, התוקף מנסה להיכנס לחיבור על ידי ניסיון אוטומטי של סיסמאות שונות מתוך ספרייה ענקית של סיסמאות ידועות, עד שאחת מהן עובדת. משם, לתוקף יש שליטה מלאה על מכונת המטרה והוא מריץ את תוכנת כופר של Dharma באופן ידני על קבצי המשתמש.

השיטה האחרונה היא התקפת אימיילים קלאסית. הקורבן מקבל דוא"ל שנראה כאילו הוא מגיע מספק האנטי-וירוס האמיתי שלהם. הוא מכיל אזהרה לגבי תוכנות זדוניות במחשב שלהם ומורה להם להתקין את קובץ האנטי-וירוס המצורף כדי להסיר את האיום. כמובן שהקובץ המצורף אינו תוכנית אנטי-וירוס, אלא Dharma 2.0, שממשיכה להצפין את קבצי המשתמש ולדרוש כופר כדי לבטל את נעילתם.

בחודש פברואר 2020, קומודו אבטחת סייבר הצוות גילה את ההתפתחות האחרונה של זה תוכנה זדונית, Dharma 2.0. גרסה זו מכילה את פונקציונליות הליבה של הצפנה ואז הכופר של גרסאות קודמות, אך מכילה גם דלת אחורית נוספת המעניקה יכולות ניהול מרחוק. בואו נסתכל מקרוב על הפרטים של Dharma 2.0, בעזרת צוות Comodo Cyber ​​Security.

היררכיית ביצוע תהליכים של דהרמה 2.0

עץ ההוצאה לפועל של תוכנה זדונית מוצג במסך המסך שלמטה, עם 'Wadhrama 2.0.exe' בראש הרשימה:

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

התוכנה הזדונית משתמשת בכלי השירות למצב DOS כדי לאסוף מידע כלשהו על המקלדת של הקורבן ומוחקת עותקי צל של הקבצים שלהם. הפקודה 'vssadmin delete Shadows / all / quiet' משמשת בדרך כלל בתוכנת ransomware למחיקת נקודות שחזור קיימות של חלונות, ושודדת את המשתמש מגיבוי של הקבצים שלהם:

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

עם עותק הצל, המשתמשים לא יכולים לשחזר את הקבצים שלהם אלא אם כן יש להם גיבוי חיצוני של צד שלישי. לעסקים רבים קיימים גיבויים כאלה, אך מספר לא מדאיג.

לאחר הצפנת כל הקבצים במחשב, התוקף זקוק כעת לדרך להעביר את ההוראות שלהם לקורבן. זה עושה זאת באמצעות 'mshta.exe' כדי לפתוח את 'Info.hta' כהפעלה אוטומטית עם הפקודה

'C: משתמשים AdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartupInfo.hta'.

'Info.hta' הוא הקובץ המכיל את הערת הכופר:

"כל הקבצים שלך הוצפנו!"

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

ניתוח דינמי של Dharma 2.0

Wadhrama 2.0.exe יוצר שני קבצי SQL, 'about.db' ו- 'about.db-journal' ב- <% usersadministratorappdatalocaltemp%>. הוא יוצר עותק של עצמו ב <% system32%>, <% startup%>, ומוסיף את הסיומת '[bitlocker@foxmail.com] .wiki' לסוף כל הקבצים המוצפנים:

ג: משתמשי המנהלאפליקציית הדאטאלוקלטמפאבאוט.db
ג: משתמשים המנהל האפליקציהפטל-דאטה-ביומטל-ויט-ביט
ג: windowssystem32Wadhrama 2.0.exe
ג: משתמשים המנהל מנהל את הנתונים שמספקים מיקרוסופט לחלונות ההפעלה התחל מתכנתים הפעלה התחלWadhrama 2.0.exe
ג: תוכנת נתונים של תוכנת Microsoft Windows חלון התחל במערכת הפעלה תוכניות להפעלה Wadhrama 2.0.exe
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500desktop.ini.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: bootbootstat.dat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c: bootsect.bak.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-coffice64ww.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: config.sys.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-csetup.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: autoexec.bat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$r1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$i1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki

ניתוח סטטי של Dharma 2.0

צוות אבטחת הרשת בדק את מורכבות ההצפנה של Dharma 2.0 על ידי יצירת שלושה קבצי טקסט זהים, עם 5 שורות, עם התוכן הבא:

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

כינינו את שלושת הקבצים בשם 'autorun.inf', 'boot.sdi' ו- 'bootsect.exe' והעברנו כל אחד למיקום אחר. מכיוון שהקבצים כולם מאותו סוג, גודל ואותם תוכן זהה, כולם חולקים את אותה חתימה SHA1 - 9ea0e7343beea0d319bc03e27feb6029dde0bd96.

זהו צילום מסך של הקבצים לפני ההצפנה על ידי דהרמה:

לאחר הצפנה לכל אחד מהם גודל קובץ וחתימה שונים:

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

עומס 2.0 של דארמה

  • Dharma 2.0 יוצר שני קבצי מסדי נתונים הנקראים 'about.db' ו- 'about.db-journal' ב '<% AppData%> \ local \ temp'. הקבצים הם קבצי SQLite ומכילים את הדברים הבאים

טבלאות - 'הגדרה' ו'מפת מפתח '. מאגרי המידע מאפשרים פקודות ניהול מרחוק כגון / להוציא / להוציא , / runas / runas , / syserr / syserr , / url / url ,

/ runcreensaver / runcreensaverd, / shutdisplay / shutdisplayd, / edithost / edithostsd,

/ הפעל מחדש / הפעל מחדש, / כיבוי / כיבוי / logoff / logoffd, / נעילה / נעילה, / צא / צא, / config / configd

/ בערך / בערך.

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

• Dharma 2.0 יוצר שני אובייקטים mutex הנקראים 'Global \ syncronize_261OR3A' ו- 'Global \ syncronize_261OR3U'. אובייקטים של Mutex מגבילים את כמות התהליכים שיכולים לגשת לפיסת נתונים ספציפית. זה למעשה נועל את הנתונים מתהליכים אחרים כך שההצפנה יכולה להתקדם ללא הפרעה.

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

Dharma 2.0 מחפש אחר סיומות הקבצים שלהלן כדי להצפין:
◦ פורמטים של קבצי מסמכים אישיים: 'doc (.doc; .docx, .pdf; .xls; .xlss; .ppt;)'
◦ פורמט קבצי ארכיון: 'קשת (.zip; .rar; .bz2; .7z;)'
Format פורמט קבצי מסד נתונים: 'dbf (.dbf;)'
Format תבנית קובץ הצפנת SafeDis: '1c8 (.1cd;)'
◦ תבנית קובץ תמונה: 'jpg (.jpg;)'

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

• זה גם מחפש תוכנות מסד נתונים, דואר ושרת ידועים:

◦'1c8.exe; 1cv77.exe; outlook.exe; postgres.exe; mysqld-nt.exe; mysqld.exe; sqlservr.exe; '

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

◦'FirebirdGuardianDefaultInstance; FirebirdServerDefaultInstance; sqlwriter; mssqlserver; Sqlserveradhelper; '

תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

• Dhama 2.0 מעתיק את עצמו לשלושה מיקומים שונים
◦ '% appdata%'
◦ '% windir% \ system32'
◦ '% sh (אתחול)%'
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
• זה יוצר צינור, '% comspec%', עם הפקודה 'C: \ windows \ system32 \ cmd.exe':
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
• הוא אוסף פרטים אודות קבצי האתחול כגון 'boot.ini', 'bootfont.bin' ואחרים:
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
• טקסט הערת הכופר נשמר בקובץ שנקרא 'FILES ENCRYPTED.txt':
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
• 'Info.hta' להצגת הודעת הכופר לקורבן:
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
• סיומת ההצפנה נשאבת מהמאגר '. [Bitlocker@foxmail.com]'
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
לאחר מכן יוצרת דארמה גרסה מוצפנת של הקובץ המקורי עם התוסף החדש:
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
לאחר מכן הוא מוחק את הקובץ המקורי וחוזר על הלולאה עד להצפנת כל כונן וקובץ. הקבצים הסופיים, המוצפנים, נראים כך:
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
• זוהי הודעת הכופר המוצגת בפני הקורבן כאשר הוא ממשיך לאתחל את המחשב שלו:
תוכנת הכופר Dharma 2.0 ממשיכה לזרוע הרס עם הגרסה החדשה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

משאבים קשורים

  • התקפת כופר
  • תוכנת הגנה מפני תוכנות כופר
  • בדוק את בטיחות האתר
  • גיבוי אתרים
  • התקפת DDoS
  • סטטוס אתר
  • סורק תוכנות זדוניות באתר
  • בודק אתרים
  • בדיקת בטיחות אתרים

    • ההודעה תוכנות כופר Dharma 2.0 ממשיכות לעשות הרס עם גרסה חדשה הופיע לראשונה ב חדשות קומודו ומידע בנושא אבטחת אינטרנט.

    בול זמן:

    עוד מ CyberSecurity קומודו