Directorat-1C

Posted: 2015-09-13 in IT, Security
Метки:, ,

Разбирая залежи всякого треша, нашел образец вредоноса, обнаруженного у одного из инфицированных клиентов. Если тема вирусов-шифровальщиков вам интересна — добро пожаловать.

Как я уже писал, для экспериментов с вирусами у меня есть отдельный стенд из виртуалок, и есть образцы файлов с привлекательными расширениями в качестве файлов-мишеней.

Восстановив стенд к изначальному состоянию и добавив туда файлы-мишени и тушку вируса, запустил файлик LGdfLdRe.exe (размер ровно 12800 байт, SHA-256: 38528c6fadd86edf324da6fad6430c8d20569ab0bcdb74fd075b46c9bfa9bb65) Данный зверь, в отличие от крутейшего VAULT-а, брутального XTBL и няшного CTB-Locker-а, смотрится гораздо более убогой поделкой.

Во-первых, нет ни приоритета файлов по расширениям, ни исключений для системных файлов. В результате этого прямо в процессе работы этого шифровальщика винду начинает дичайше плющить, торкать и колбасить:

Virus_Directorat_1C_Kill_Windows_1

Как видим, наши файлы-мишени с «вкусными» расширениями ещё даже не зашифровались, а виндовс уже сыпет ошибками, меню у файлового менеджера померло, да и размеры мессадж-бокса какие-то совсем неадекватные. Я терпеливо дождался завершения дисковой активности в ВМ (статус-строка ВМ показывает мигающей красной точкой). На то, чтобы полностью выпотрошить виндовс-ХР, запущенную на 256 Мб ОЗУ и половинке ядра Core2, вредоносу понадобилось меньше 7 минут.

Виндовс после этого, само собой, немножко сломалась:

Virus_Directorat_1C_Kill_Windows_2

То есть сломалась совсем, в невосстановимое состояние. Проще переставить / откатить из бэкапа. Поскольку после такого надругательства система ожидаемо сдохла, вытаскивать файлы пришлось из-под Live-CD, законнектившить на третью ВМ в virus_net, где я замутил наипростейший FTP-сервер. Что занятно, завершив шифрование, вирусня дает команду на выключение — ВМ стопается по acpi_power_off.
Как видим, вирусняк честно замочил все системные файлы:

Virus_Directorat_1C_Kill_Windows_3

И даже оставленные со времён MS-DOS совместимости ради autoexec.bat и config.sys пали в неравной битве. Естественно, про наши целевые файлы вирус тоже не забыл, хотя и закриптовал их в самом конце.

Я попробовал заразить виртуалку два раза. Как я и говорил, этот шифровальщик весьма хилый.

— никакой красоты с командным центром в анонимных сетях
— почта на гмейле. Хотя со слов потерпевших, на уговоры не ведутся и просят купить биткоины. Выкуп просят наглый (относительно уровня исполнения) — от 500 до 2000 вечнозеленых американских президентов.
— Для каждого запуска / случая заражения генерится уникальный ключ. Оно видимо как-то записывает в зашифрованном виде в хвост каждого файла. Возможно, он даже зашифрован RSA-2048.
— Этим ключом потом шифруется всё подряд. В частности, мои целевые файлы после криптования увеличились с 1024000 байт до 1025250 байт, и у всех файлов оказался одинаковый sha256-хэш. То есть для каждого файла используется один и тот же ключ.
Другой хэш у зашифрованного файла получается, только если повторить опыт, то есть ключ к блочному шифру общий для всех файлов на компьютере, но уникален для каждого заражения.
— Файл при этом шифруется целиком, никакие шаманства с заголовком не помогут.
— Со слов аверов, использует он шифр RC4, который сейчас к стойким уже не относится, да и использование одного ключа на все файлы дает потерпевшим шанс.

Из радостного — у Паутиныча есть разработанный метод расшифровки, владельцы лицензии могут с приличной вероятностью не платить вымогателям. У Касперыча, скорее всего, тоже.

Итог: вирусня конечно треш, но виндовс она пошинковала знатно 😀 😀 .
Что ещё меня повеселило — на вирус-тотале всё ещё есть антивирусы, которые оный вирь не ловят, хотя ему уже несколько месяцев. Ну и названия антивирусов там тоже местами весьма знатные — всякие Jiangmin, K7GW, NANO-Antivirus, TheHacker, Alibaba, CMC и SUPERAntiSpyware.

Ну и как я это обычно делаю в конце таких статеек, призываю всех к правильным бэкапам с разделением доступа. Just do it. =)

Реклама

Обсуждение закрыто.