задолбали слать vault

Posted: 2016-04-04 in IT, Security
Метки:

Думаете, пациент уже умер ?
А вот фиг вам, жив и продолжает рассылаться спамом.

Третий раз уже за этот месяц нам в бухгалтерию присылают примерно вот такое типа убедительное письмо:

Тема: Оплата долгов за предоставленные услуги
Дата: Mon, 04 Apr 2016 02:30:46 +0300
От: Бухгалтерия МедиаГруп
Отвечать: Бухгалтерия МедиаГруп
Кому: terrywood

Просьба оплатить вторую часть суммы, согласно договора (акт вып.работ во вложенном файле).
Напоминаю, что за вами висит долг (за прошлый месяц). В случае не погашения, будет наложена пеня.
Ждем обратной связи!


с уважением,
гл.бухгалтер, ООО Медиа Груп

К письму приложен файлик «оплата_март doсx.zip».
При открытии архива там один файл с длинным именем:
«Документация для контрагента от 4 апреля 2016 года. Составлено и подписано главным бухгалтером. Для проверки.1299_txt.js»

Расширение .JS по умолчанию в виндовс не показывается, понять можно по характерной иконке, что это скрипт. Распакованный JS-файл весит почти мегабайт, и обфусцирован. На сегодня 2016-04-04, его на вирус-тотале обнаруживает всего один мутный антивирус. Возможно, поведенческие механизмы у касперыча и паутиныча и смогут его поймать, но лучше все-таки защищаться политиками. Есть у меня обоснованное подозрение, что мошенники не зря свои биткойны получают, и противодействие детекту там либо уже есть, либо будет в скором времени.

То есть злоумышленники засадили рассылку в ночь с воскресенья на понедельник, когда все спят, чтобы поутру бухгалтеры сильно порадовались.
Вирус шифрует файлы, и приглашает в личный кабинет на http://333e45lpjqrebknr.onion/ :

vault_screen

Что забавно, уже после срабатывания шифровальщика и порчи файлов скрипт пытается выполнить какую-то дополнительную муйню, на которую древняя виндовс-ХРень запрашивает логин от имени другого пользователя. Опция «Защитить компьютер от несанкционированных действий этой программы» на фоне сработавшего шифровальщика выглядит очень смешно.

Но виндовс-ХР-х86 — штука совершенно реликтовая. Проверяем на чуть менее реликтовой Win7-х64 — работает.
При этом видно, что муйня с запросом связана с попыткой открыть файл с расширением .vault =)

Проверил прикола ради на виндовс 8 и виндовс 10.

Восьмерка-виндовс сперва после долгого тупняка (тяжело виндовсу страдать червиём на 512 Мб оперативки) открыла WordPad с кучей китайского текста внутри:

vault_screen_win81_wordpad_hta

Через некоторое время скрипт попытался удалить точки восстановления:

vault_screen_win81
Сообщение навязчивое, отмену потребовалось нажать раз пять =)
Скрипт завершился, но файлы к моменту появления этого запроса уже будут зашифрованы.
hta-файл не запустился, осталось белое окошко.

Ради такого шикарного вируса поставил виндовс-10 на виртуалку.

На вендо-десятке скрипт запустился, hta-файл, показывающий сообщение, сработал, wordpad с китайским текстом открылся. Ну и тестовые файлы тоже пошифровало.

А как в нашем б-гомерзком линуксе ? А в б-гомерзком линуксе JS открывается текстовым редактором. Да ещё и с предупреждением:

Файл file:///run/media/VMFS_Box1/VirtualBoxVMs/Shared/RO/VIRUS/Encoder.js был открыт, но он содержит строки длиннее 4096 символов (указано в параметре «Ограничение на длину строки»).
Самая длинная строка содержит 1097015 символов.
Эти строки были разбиты на более короткие, и был установлен режим «только чтение», так как сохранение может повредить файл.

Чтобы ценный вирусный экземпляр случайно не испортить 😀 😀

P.S. Угроза шифровальщиков по-прежнему актуальна. Призываю всех прочитавших к бэкапам. Кстати, учитывая печальный опыт пользователей MacOS, линуксоидам расслабляться тоже не стоит — как минимум, бэкапы делать обязательно.
И на виндовс в обязательном порядке отзывать права админа и настраивать SRP в режиме белого списка.

Обсуждение закрыто.