ВІД ЛАБОРАТОРІЙ COMODO: «Старе знову стає новим», оскільки цей електронний факс може містити CryptoLocker

Перевидано Платоном

читають: 0

кібербезпека Час читання: 5 протокол

З 2013 року зловмисне програмне забезпечення CryptoLocker пробивається в Інтернеті в різних формах і в різних ітераціях. CryptoLocker — це троян-вимагач, який націлений на комп’ютери під керуванням Microsoft Windows і особливо популярний серед кіберзлочинців завдяки своїй здатності читати файл, шифрувати цей файл, перезаписувати оригінальний файл зашифрованим файлом і вимагати викуп за повернення файлу.

Оновлення Comodo

[Зверніть увагу, слід зазначити, що технологія стримування Comodo захищає клієнтів від CryptoLocker, про що було зазначено в дописі в блозі ще в 2013 році: https://blog.comodo.com/it-security/cryptolocker-virus-best-practices-to-ensure-100-immunity/]

Оскільки CryptoLocker залишається популярним, оскільки зловмисне програмне забезпечення розвивається, методи ухилення від програмного забезпечення безпеки також еволюціонували, а нові методи впроваджуються кіберзлодіями щодня.

Введіть факс.

Інженери з Comodo Threat Research Labs виявили нещодавню фішингову атаку, яка надсилала підприємствам і споживачам по всьому світу випадкові електронні листи з вкладеннями, позначеними як факс.

Тема електронного листа — «У вас є новий факс, документ 00359970», а вміст електронного листа — це просто звичайне факсове повідомлення (або так здається)

Нижче наведено знімок екрана «факсових» фішингових листів.

Що робить цей новий штам шкідливих програм унікальним, так це те, що насправді це двокомпонентна система шкідливих програм, яка запускає одночасно виконуваний файл і пакетний файл. За словами інженерів Comodo, скрипти розбиваються на окремі виконувані файли, завдяки чому розмір шифруючого виконуваного файлу становить менше 3 КБ, що дозволяє розміру файлу проходити через багато рівнів безпеки.

Оригінальний сценарій не завершується після завантаження шифрувальника, він продовжує виконання, а також створює пакетний файл і запускає CryptoLocker.

Шкідлива поведінка відбувається на наступному кроці й проявляється лише при поєднанні виконуваного та пакетного файлу, який створюється під час виконання.

Використання лозунгу факсу або електронного факсу змушує людей відкрити електронний лист, а потім натиснути вкладення, щоб переглянути факс.

Комодо Лабораторія дослідження загроз Команда ідентифікувала цю фішингову кампанію електронної пошти за допомогою аналізу IP, домену та URL-адрес.

«Цей тип нового шкідливого програмного забезпечення є інноваційним — він бере кілька простих ідей програмування та поєднує їх із негативними намірами. Ці кіберзлочинці явно присвячують велику кількість тестування, досліджень, аналізу та програмування, щоб це сталося», – сказав Фатіх Орхан, директор з технологій Comodo і керівник лабораторії Comodo Threat Research Lab. «Взявши стару технологічну ідею, як-от електронний факс, і використовувати її з оновленим кодом і шкідливим програмним забезпеченням, як-от CryptoLocker, об’єднали дві школи думки. Кіберзлочинці продовжують намагатися скористатися перевагами компаній і споживачів, тому застереження для громадськості – остерігайтеся того, що ви натискаєте в електронному листі, як цей – це може мати серйозні наслідки».

Команда Comodo Threat Research Labs складається з понад 40 професіоналів із ІТ-безпеки, етичних хакерів, комп’ютерних науковців та інженерів, усі штатні співробітники Comodo, які аналізують та фільтрують спам, фішинг та шкідливе програмне забезпечення з усього світу. Маючи офіси в США, Туреччині, Україні, Філіппінах та Індії, команда щодня аналізує понад 1 мільйон потенційних фішингу, спаму та інших шкідливих/небажаних листів електронної пошти, використовуючи дані та висновки, щоб убезпечити й захистити свою поточну базу клієнтів. і широка громадськість, підприємства та Інтернет-спільнота.

Якщо ви відчуваєте, що ІТ-середовище вашої компанії піддається атаці з боку фішингу, зловмисного програмного забезпечення, шпигунського програмного забезпечення або кібератак, зверніться до консультантів з безпеки в Comodo: https://enterprise.comodo.com/contact-us.php

Нижче було зроблено знімок екрана шкідливого електронного листа:

eFax Cryptolocker

Для системного адміністратора та IT-директорів докладні відомості про роботу зловмисного програмного забезпечення наведено нижче.

Складна частина історії цього фішингового листа лежить всередині розшифрованого. Цей сценарій намагається завантажити файл з одного з «www.foulmouthedcatlady.com, kashfianlaw.com, totalpraisetrax.com» і зберегти його під %temp% як 770646_crypt.exe (тому для кожного користувача це щось на кшталт C:/ Users /yourusername/AppData/Local/Temp/ і 770646 – це просто випадкове число).

Цікавим є те, що завантажений виконуваний файл не виконується безпосередньо, оскільки сам по собі він не є шкідливим програмним забезпеченням. Це просто виконуваний файл, який використовується для виконання шифрування і не містить нічого іншого всередині. І це також робить його винятковим, оскільки розмір файлу складає всього 2560 байт (менше 3 КБ!!!). Декомпільований код містить лише 40-50 рядків коду. Цей файл може обійти багато фільтрів безпеки на різних рівнях мережі.

Отже, якщо цей файл не є зловмисним програмним забезпеченням, а просто шифрувальником, яка поведінка шкідливого? Оригінальний сценарій (не зовсім перший сценарій, але дезашифрований) не завершується після завантаження шифрувальника. Він продовжує своє виконання, а також створює інший пакетний файл. Він називає цей новий пакетний файл 770646_tree.cmd і зберігає його в тому самому каталозі (%temp%). Насправді цей пакетний файл є справжнім джерелом шкідливої поведінки. Спочатку він переглядає всі диски (перевіряє весь алфавіт від А до Я) і шукає кожен каталог на кожному диску, обходить усі дочірні каталоги та знаходить файли документів, PDF-файли, архівні файли, вихідні коди, мультимедійні дані, файли конфігурації, файли креслень та багато інших типів файлів.

Список типів файлів, які він шукає, становить понад 70, включаючи (але не обмежуючись ними):

*.zip *.rar *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.jpg *.tif *.avi *.mpg тощо…

Коли знайдено файл, що відповідає одному з цих розширень, для цього файлу виконується шифрувальник (завантажений виконуваний файл). Шифрувальник не змінює розширення файлу чи щось інше, він просто шифрує вміст і залишає файл. Після завершення шифрування всіх файлів у всіх папках і на всіх дисках пакетний файл видаляє файл шифрувальника.

Пакетний файл також створює файл Readme (з назвою 770646_readme.txt) і записує в нього такий текст:

УВАГА:

Усі ваші документи, фотографії, бази даних та інші важливі особисті файли були зашифровані за допомогою сильного алгоритму RSA-1024 з унікальним ключем.

Для відновлення файлів потрібно заплатити 0.5 BTC (біткойни). Зробити це:

1. Створіть гаманець Bitcoin тут:

https://blockchain.info/wallet/new

2. Купіть 0.5 BTC готівкою, використовуючи пошук тут:

https://localbitcoins.com/buy_bitcoins

3. Надішліть 0.5 BTC на цю адресу Bitcoin:

1CWG5JHDZqHPF1W8sAnUw9vD8xsBcNZavJ

4. Надішліть будь-який електронний лист на адресу:

keybtc@inbox.com

Після цього ви отримаєте електронний лист із докладними інструкціями, як відновити ваші файли.

Пам’ятайте: крім нас ніхто вам не допоможе. Перевстановлювати Windows, перейменовувати файли тощо марно.

Ваші файли будуть розшифровані так само швидко, як ви здійсните платіж.

Спочатку він відкриває цей файл у редакторі блокнота, а потім також копіює цей файл на робочий стіл користувача як новий файл з іменем DECRYPT_YOUR_FILES.txt . Пакетний файл також додає в реєстр запис для автозапуску під час запуску Windows, який показує те саме повідомлення readme, коли комп’ютер вперше відкривається. Нарешті, пакетний файл також видаляється.

Резюме від інженерів Comodo:

Як видно з аналізу, мета шифрування файлів регулярна і відома всім експертам з безпеки. Але вибраний метод для проникнення та демонстрації поведінки шифрування тут відрізняється, оскільки завантажений виконуваний файл сам по собі не є шкідливим і виконує лише частину загальної мети. Інша частина виконується пакетним сценарієм, який створюється під час виконання (тому не існує на початку). Поєднання виконання обох файлів створює кінцевий зловмисний намір, який шифрує всі файли. Цей метод може безсумнівно обійти деякі фільтри та продукти безпеки через два фактори: