Ransom32 Ransomware
(шифровальщик-вымогатель, RaaS)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (блочный CTR-режим), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Если жертва не заплатит требуемую сумму за 7 дней, то все ключи дешифрования будут уничтожены.
К зашифрованным файлам никакое расширение не добавляется. Активность этого криптовымогателя пришлась на январь-март 2016 г.
ВАЖНО!!! Ransom32 шифрует файлы, воспользовавшись легитимными возможностями технологий JavaScript, WinRAR SFX и Bitcoin.
Для каждого файла генерируется новый ключ шифрования. Он шифруется с использованием алгоритма RSA и публичного ключа, загружаемого с C&C-сервера при первом подключении. Зашифрованный публичным ключом ключ AES сохраняется вместе с данными зашифрованного файла.
ВАЖНО!!! Использование JavaScript делает данный вымогатель кроссплатформенным, т.е. он может использоваться для Windows, Linux и Apple OS X.
Ключевой особенностью Ransom32 является модель распространения SaaS (Software as a service), а для получения доступа к админ-панели управления вредоносом и его генерации нужно всего лишь указать адрес своего кошелька Bitcoin.
Распространяется с помощью email-спама и вредоносных вложений. Вредоносный файл размещается внутри письма, замаскированного под неоплаченный счёт, уведомление о доставке, и т.п. Когда жертва скачает и запустит такой файл, то он связывается с сервером управления и получает команду на загрузку вредоноса Ransom32. Загруженный файл представляет собой самораспаковывающийся SFX-архив, при автоматической распаковке извлекающий набор инструментов для шифрования.
Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.
Рис.1. Окно браузера Tor, в котором предлагается ввести BTC-адрес
Рис.2. Окно для генерации и отправки вымогателям архива с файлами вредоноса
Здесь мы видим адрес электронного кошелька оператора (владельца), статистику зараженных компьютеров, сумму уже полученных средств от пострадавших, и настраиваемые параметры вредоноса. На данном скриншоте всё по нулям, т.к. образец окна получен специалистами Emsisoft.
После нажатия на кнопку "Download client.scr" для оператора будет сгенерирован архив с файлами вредоноса с указанными им в панели управления параметрами. Этот архив будет иметь размер порядка 22Мб, что существенно отличает его от других вредоносов-вымогателей с архивом весом около 1Мб.
Вредонос использует скриптовый язык WinRAR для автоматической распаковки содержимого архива во временную директорию, затем запускает на исполнение файл chrome.exe.
Описание содержимого архива
Файлы из архива имеют следующее предназначение:
- файл "chrome" содержит копию лицензионного соглашения GPL;
- файл "chrome.exe" это приложение NW.js и код вредоноса, а также среда framework для его успешной работы;
- файлы "ffmpegsumo.dll", "nw.pak", "icudtl.dat" и "locales" содержат данные, нужные NW.js для работы;
- файл "rundll32.exe" это переименованная копия файла клиента Tor;
- файл "s.exe" это переименованная копия файла набора Optimum X Shortcut, для создания и управления ярлыками на Рабочем столе и в меню Пуск;
- файл "g" это конфигурационный файл управления вредоносом;
- файл "msgbox.vbs" это небольшой скрипт для настройки popup-окна.
- файл "u.vbs" это небольшой скрипт для зачистки всех файлов в рабочей директории вредоноса.
Необходимо заметить, что NW.js (Node-WebKit) — это легитимный кроссплатформенный фреймворк, позволяющий создавать приложения с использованием популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.
Рис.3. Файлы внутри SFX-архива
Требование выкупа
После исполнения файла вымогателя в системе, он извлечет все вышеперечисленные файлы в директорию с временными файлами. Потом скопирует себя в директорию %AppData%\Chrome Browser. Использует файл s.exe для создания ярлыка в директории автозапуска пользователя с названием «ChromeService». Далее вредонос запустит файл клиента Tor для подключения к C&C-серверу. После его уже отобразит пользователю сообщение с требованием выкупа.
Рис.4. Окно с требованием выкупа
Вымогатель предлагает жертве расшифровать один файл для демонстрации того, что эта процедура возможна. При этом отправит на C&C-сервер зашифрованный с AES ключ указанного файла и получит расшифрованную версию ключа.
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .game, .gif, .grle, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mlx, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .ra, .raw, .rb, .rtf, .sav, .sdf, .ses, .sldm, .sldx, .slot, .spv, .sql, .sv5, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx (127 расширений).
Не шифруются файлы в директориях с названиями:
windows\
winnt\
programdata\
boot\
temp\
tmp\
$recycle.bin\
Файлы, связанные с Ransomware:
Download client.scr
chrome.exe и другие
<random>.exe
<random>.cmd
<random>.vbs
<random>.js
<random>.tmp
Расположения:
%Temp%\nw3932_17475
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk
%AppData%\Chrome Browser\
%AppData%\Chrome Browser\.chrome\
%AppData%\Chrome Browser\.chrome\cached-certs
%AppData%\Chrome Browser\.chrome\cached-microdesc-consensus
%AppData%\Chrome Browser\.chrome\cached-microdescs
%AppData%\Chrome Browser\.chrome\cached-microdescs.new
%AppData%\Chrome Browser\.chrome\lock
%AppData%\Chrome Browser\.chrome\state
%AppData%\Chrome Browser\chrome
%AppData%\Chrome Browser\chrome.exe
%AppData%\Chrome Browser\ffmpegsumo.dll
%AppData%\Chrome Browser\g
%AppData%\Chrome Browser\icudtl.dat
%AppData%\Chrome Browser\locales\
%AppData%\Chrome Browser\msgbox.vbs
%AppData%\Chrome Browser\n.l
%AppData%\Chrome Browser\n.q
%AppData%\Chrome Browser\nw.pak
%AppData%\Chrome Browser\rundll32.exe
%AppData%\Chrome Browser\s.exe
%AppData%\Chrome Browser\u.vbs
Записи реестра, связанные с Ransomware:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: средняя.
Подробные сведения собираются.
Статья для чтения >>
Статья для чтения >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as ***) Write-up, Write-up, Topic of Support *
Thanks: Fabian Wosar, Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
