Cute Ransomware
cuteRansomware
my-Little-Ransomware
(шифровальщик-вымогатель)
В основе крипто-вымогателя Cute Ransomware лежит Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао, выложенная им в феврале 2016 на Github.
Согласно описанию, my-Little-Ransomware представляет собой простой инструмент для создания крипто-вымогателей, написанный на C# (CSharp). Ма Шенхао (кстати, имя Shenghao переводится с китайского как "Добрый знак") писал несколько вымогателей в исследовательско-учебных целях для SITCON 2016 (китайской студенческой конференции по информационным технологиям). И только my-Little-Ransomware (другое авторское название CSharpRansomware) получился таким, что не детектировался ни одним из антивирусов. Ма Шенхао приложил скриншот с VirusTotal, где нет детекта ни одного детекта. Разработчик даже не предполагал, что его программа станет оружием в руках киберпрестпником и породит несколько реальных крипто-вымогателей. В его my-Little-Ransomware использовался AES-128 для шифрования данных.
В my-Little-Ransomware список файловых расширений, подвергающихся шифрованию, был следующим:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet,
.ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class,
.cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm,
.docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml,
.iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8,
.m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw,
.msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb,
.pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj,
.pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx,
.r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2,
.srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f,
.xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw,
.xml, .xqx, .zip (158 расширений).
В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .cpp, .csr, .docx, .enc, .jpg, .pcap, .pdf, .pem, .png, .pptx, .py, .txt, .zip (14 расширений).
Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted, записанным на китайском языке .已加密, а затем отправляет ключи в Google Docs. Из чего следует, что вымогатель ориентирован только на китайских пользователей. Распространяется с помощью попутных загрузок.
Расчет кибер-преступников прост: "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. "Авторы вредоносных программ перешли к более широкому использованию облака, для доставки вредоносных программ и эксфильтрации данных с помощью C&C-серверов, а отсутствие традиционных средств обнаружения в SSL становится огромным преимуществом для них"... "Организациям, использующим сервис Google Docs в качестве основного, практически невозможно защититься. Чтобы предотвратить атаку этих вымогателей, нужно избирательно блокировать конкретный экземпляр приложения, связанный с этим вымогателем, позволяя работу только с санкционированными экземплярами Google Docs".
Первые крипто-вымогатели, основанные на my-Little-Ransomware, были замечены в середине июня. А неделю назад фирма Netskope подловила еще один похожий вредонос, в коде которого была строка cuteRansomware, которая и стала названием для всех вымогателей на его основе.