вторник, 5 января 2016 г.

TorrentLocker

TorrentLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES (CBC режим), а с помощью 2048-битного ключа RSA шифрует ключ AES, а затем требует 4.081 биткоинов за расшифровку. 

Получил отдельное развитие вариант TorrentLocker под названием Crypt0L0ckerЭто наследование записывается так:

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Название TorrentLocker взято из имени раздела реестра HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration, который ранее использовался вредоносом для хранения своей конфигурации. Поздние модификации больше не использовали этот раздел реестра. 

  Создатели же назвали свой проект Racketeer (буквально "Рекетир"). Некоторые названия функций в коде вредоносной программы начинаются с префикса «rack», например, rack_init, rack_encrypt_pc. Имена файлов скриптов на C&C-сервере также начинаются с этого префикса, например, rack_cfg.php, rack_admin.php. Racketeer оправдывает свое название, т.к. заставляет покупать у злоумышленников дешифровщик. Первые версии TorrentLocker были зафиксированы в начале 2014 года, но к концу года уже было 5 известных модификаций. 

  Версии 1-3 содержали уязвимость, которая позволила специалистам ЛК создать RannohDecryptor. Но начиная с 4-й версии создатели вредоноса исправили уязвимость и дешифрование стало невозможным. Текущие версии этой вредоносной программы требуют выкупа в Bitcoin и размещают веб-страницы для уплаты выкупа в сети Tor.

  О более ранних версиях можно прочитать в статье на Хабре

  Распространяется TorrentLocker с помощью email-спама и вредоносных вложений, фишинг-рассылок со ссылками на архивы с вредоносным содержимым, или на зараженные эксплойтами сайты. Исполняемый файл из вложения обычно замаскирован под документ MS Office (счет, штраф, извещение, уведомление и пр.) и представляет собой дроппер вредоносной программы. Фишинговые сообщения распространяли TorrentLocker с августа 2014 г. Если вредоносное вложение не использовалось, то письмо содержало URL-ссылку на загрузку вредоносного архива, для получения которого нужно было пройти специальную капчу. 

  При использовании фишинговых рассылок с URL-ссылками специальные веб-страницы откроются только для пользователей из определенной страны (проверка по IP-адресу). Если на такую веб-страницу попадает пользователь из другой страны, то он перенаправляется на страницу Google-поиска. Пользователям мобильных устройств предлагается открыть страницу с ПК. Во вложениях также используются doc-файлы со сценариями на VBA, которые нужны для загрузки и запуска дроппера TorrentLocker. 

  Во всех случаях, текст сообщений написан на языке страны получателя. В их числе были: Австралия, Австрия, Великобритания, Германия, Голландия, Ирландия, Испания, Италия, Канада, Новая Зеландия, Турция, Франция, Чехия. Кроме этого, злоумышленники покупали и использовали в фишинг-рассылках специальные поддельные домены, очень похожие на легитимные аналоги, принадлежащие некой частной или государственной организации. 

  Когда TorrentLocker запускается на зараженном ПК, то он запрашивает у C&C-сервера веб-страницу с требованием выкупа, которая сообщает пользователю о том, что файлы зашифрованы и нужно заплатить выкуп за дешифровку. Если эта операция успешна, то TorrentLocker генерирует специальный 256-битный AES-ключ, который шифруется с помощью публичного 2048-битного ключа RSA, жестко зашитого в теле вредоноса. 

Ключ отправляется на удаленный C&C-сервер. Далее вредоносная программа инициирует процесс шифрования файлов определённого типа с использованием этого AES-ключа. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (236 расширений).

Сейчас уже известно, что TorrentLocker шифрует только первые 2MB файла, чтобы сделать файл полностью неработоспособным или непригодным для использования. В конец каждого зашифрованного файла вредоносная программа добавляет три специальных поля определенного формата.

  По окончании шифрования TorrentLocker уничтожает в памяти ключ вызовом memset(aes_key, 0, aes_key_size), чтобы сделать невозможным получение ключа из памяти при его отладке. Этот memset выполняется для каждой копии ключа. После этого TorrentLocker отображает пользователю полученную ранее веб-страницу. Веб-страница с требованием выкупа содержит ссылку на страницу оплаты, размещенную на домене .onion. Этот домен также фигурирует в качестве одного из C&C-серверов, к которому обращается код TorrentLocker. На скриншоте ниже упоминается другой шифровальщик – CryptoLocker. Этот ход используется для того, чтобы ввести жертву в заблуждение.
  Из-за того, что разработчики TorrentLocker стали использовать режим CBC симметричного алгоритма шифрования AES, вместо ранее используемого CTR, расшифровка возможна только в случае получения закрытого ключа RSA от злоумышленников, с помощью которого можно расшифровать AES ключ. Этот зашифрованный публичным RSA ключом AES ключ хранится в конце зашифрованного файла и используется для непосредственной расшифровки файла (или его первых двух мегабайт). Публичный RSA ключ находится в теле вредоносной программы.

 TorrentLocker для Швеции
  В мае 2016 обнаружена новая кампания, в которой TorrentLocker ориентирован на Швецию. Как и более ранние кампании, этот криптовымогатель доставляется с помощью email-спама и ссылок на заражённый эксплойтами сайт. Предлагается загрузить фальшивый счет от фирмы международной связи Telia со штаб-квартирой в Стокгольме (Швеция), имеющий миллионы клиентов по всему миру. Если потенциальная жертва переходит по ссылке на веб-сайт, выглядящий как реальный сайт Telia, то натыкается на вредоносный код Captcha, который загружает вымогателя TorrentLocker, но при условии, что IP-адрес жертвы находится в Швеции. Если IP-адрес не находится в Швеции, пользователь будет перенаправлен на Google. 
  TorrentLocker пытается украсть данные жертвы, прежде чем начнёт шифрование. Он внедряется в память explorer.exe перед удалением основного компонента с произвольным именем, а затем собирает на ПК все имеющиеся сертификаты и контакты пользователей. Они отправляются на C&C-сервер и хранятся там для использования в будущих вредоносных кампаниях.
  При запуске шифрования, эта шведоориентированная версия TorrentLocker пытается зашифровать все доступные файлы данных на локальном и подключенных дисках. По завершении шифрования записка о выкупе предлагает потерпевшему купить дешифровщик за 1,153 Bitcoins (около 4099 крон, 441 евро или $ 500). Если выкуп не выплачивается в течение нескольких дней, стоимость дешифровки удваивается. Новая версия оснащена специальной функцией "сна" (временного бездействия), когда вымогатель не проявляет никакой активности, чтобы избежать обнаружения и противодействовать песочным (sandbox) и поведенческим (HIPS) технологиям защиты. 
  "Лучший уровень защиты против криптовымогателей, внедряющихся в систему в виде полезных нагрузок, это поведенческая технология защиты (так называемый HIPS). Статические проверки VirusTotal не могут контролировать поведение, поэтому не дают полноценного анализа на основе детекта или недетекта конкретного AV для проверяемых вредоносов. Поэтому криптовымогатель всегда будет делать то, что он делает", — сказал Шон Салливан, советник по безопасности F-Secure.
  "Функция сна" у нового TorrentLocker предназначена для противодействия такому поведенческому анализу и песочным технологиям. Злоумышленники предприняли контрмеры, чтобы сохранить своего вредоноса бездействующим на период поведенческого анализа.

  В перспективе злоумышленники могут легко менять вектор атаки, ориентируя атакующий вымогатель на потенциальные жертвы из любой другой страны.

Степень распространённости: перспективно высокая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *