Преди няколко дни лабораториите на Panda Security засякоха нов тип ransomware, наречен – CryptoBit.
Правейки сравнение с досегашните заплахи от този тип, сме на мнение, че той е единствен по рода си. Различава се съществено от досегашните разновидности на ransomware. Една от основните специфики е съобщението, което потърпевшият получава с инструкции как да „спаси“ своите файлове.
Ето някои отличителни белези на тази новата опасност – CryptoBit.
Анализирана проба
Концентрирали сме се върху анализа на следната проба:
a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c (sha256)
Въпросната проба е защитена от вида троянски кон – “packer”. Неговата цел е да скрие пробата сред други файлове. След „разархивирането“ на пробата забелязахме, че като допълнение на датата на последно компилиране ( 5 Април, 2016 в 12:20:55PM) е налице пълна липса на низове, доказателство, че авторът на CryptoBit желае да попречи на анализа на кода.
Разпространение
След анализа на информацията, осигурена чрез колективния интелект на Panda Security, можем да определим векторът, по който се разпространява въпросният нов зловреден код. Заключението е, че CryptoBit използва уязвимости, които засягат различни уеб браузъри.
Поведение
Веднъж, след като поведението на пробата от зловреден код е „разархивирана“ и анализирана, можем да определим начина, по който CryptoBit работи:
Първото нещо, което тази опасност прави е да провери настроените езици за клавиатурната подредба на атакуваната машина. Ако са конфигурирани със следните кодове:
0x1a7, 0x419 (Руски) или 0x43f (Казахстански), програмата не продължава с работа си и не криптира нито един потребителски файл.
След като направи проверка за клавиатурната подредба, CryptoBit продължава работата си като отваря всички локални дискове, мрежови папки, външни устройства като (USB флашки) и търси файлове с долуописаните разширения.
Какви са целите на зловредната програма?
Да криптира цялото съдържание на намерените файлове с цел искане на последващ откуп.Криптирането на цялото съдържание на файловете, също е необичайно за досегашните опасности от типа ransomware.
Cryptobit търси файлове със следните разширения:
ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip
След започване на процеса по криптиране, се визуализира следния прозорец:
В това съобщение личат някои детайли, които ни помагат да класифицираме този нов вид зловреден код:
Показва ID– 58903347
Този номер, на анализираната проба винаги е един и същи, без значение колко пъти се пуска зловредния код или на какво устройство. Това ни подсказва, че отбелязва номер на зловреден код , а не номер на машина или конкретен потребител.
Номерът на биткойните, които се изискват като откуп
По принцип изискуемия откуп е почти винаги фиксиран или има лимит. Тук наблюдаваме прогресия в сумата на изискуемия откуп с напредване на времето.
Как да се свържем с „тях“
Потребителя не може да се свърже с хакерите посредством URL адрес, а е подканен да напише писмо и да го изпрати до torrenttracker@india.com. Ако не получи съобщение по пощата, то да остави съобщение с програма “Bitmessage”.
Като допълнение всеки път, когато потребителя отваря папка с криптирано съдържание се създават допълнително файлове:
Cryptobit_3OKSOWATHAPPENDTOYOURFILES.TXT
Това е същото съобщение, но този път в текстови формат. Потребителя го получава, след като файловете му са заключени.
sekretzbel0ngt0us.KEY
В този файл се вижда шестнайсетична последователност с дължина 1024, която веднъж декодирана съответства на бинарна последователност от 512 байта или 4096 бита.
С помощта на този файл става криптирането на другите файлове.
Друга дейност на зловредния код видима за потребителите е HTTP заявка която излгежда по следният начин: http://videodrome69.net/knock.php?id=58903347
Забележете, че заявения скрип – knock.php не съществува.
КРИПТИРАНЕ НА ФАЙЛОВЕТЕ
За да криптира файловете зловредния код генерира алгоритъм AES (със случаен ключ с дължина 32 байта или 256 бита), правейки почти невъзможно декриптирането на файловете без допълнителна информация.
За да не загубим този ключ, който ни позволява да декриптираме файловете след като откупа е платен, авторът на зловредния код пази AES ключа с енкрипция с RSA алгоритъм.
Пулбичен ключ който се избира е с дължина 4096бита и е “hardcoded” в анализираната проба.
Веднъж криптиран с RSA AES ключа се съхранява във файлове с име: sekretzbel0ngt0us.KEY, което го прави разбираемо, само ако има съответният RSA “публичен ключов” (на теория, притежание на автора на CryptoBit.)
В този раздел, ние забелязваме специфична подробност: липсата на повикване на библиотеки, които криптират файлове с използване на алгоритъма RSA. CryptorBit използва серия от статично компилирани съчетания, които позволяват да се работи с големи числа , съответно прави възможно да се възпроизведе алгоритъм за криптиране RSA.
ЗАКЛЮЧЕНИЕ
Както можем да видим, и в тази новооткрита опасност, зловредният код от типа ransomware непрекъснато се усъвършенства. Ние откриваме нови проби всеки ден. В този конкретен случай, ние не сме изненадани от използването на “сериозна криптография” (AES + RSA), нещо, което е стандартизирано, но ни прави впечатление амбицията и интересните идеи, които използва.
Както винаги, проверявайте антивирусната програма да е с най-нови актуализации и правете резервно копие на важните Ви файлове.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg