11 апреля в 10:30

Osiris — новая реинкарнация троянской программы Locky

Краткое содержание


В конце января специалисты Acronis обнаружили новый сэмпл вредоноса-вымогателя Osiris, который легко обходит защиту Windows Defender. Вот некоторые данные о новой программе-вымогателе Osiris.



  • Osiris относится к седьмому поколению программ-вымогателей семейства Locky, и обычно распространяется через спам;

  • Osiris сложно выявить, так как он использует стандартные компоненты Windows для загрузки и исполнения вредоносного кода (скрипты и библиотеки);

  • Osiris обладает средствами обнаружения виртуальной сред, что затрудняет дебаггинг и отладку на виртуальных машинах; этот алгоритм был значительно улучшен по сравнению с первоначальной версией, появившейся в июне 2016 г.;

  • Он заражает локальные устройства и легко распространяется по сети, заражая другие компьютеры и сетевые папки;

  • Osiris также может распространяться через CRM/системы поддержки клиентов (включая облачные) за пределами одной организации. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, откроет вложение в Excel и заразит сеть.

  • Как и предполагали специалисты Acronis, мошенники начали атаковать решения для резервного копирования. Osiris напрямую атакует службу теневого копирования томов Microsoft (VSS) операционных систем Windows, и удаляет уже созданные теневые копии;

  • Osiris использует мощные алгоритмы шифрования, вследствие чего заражённые данные не могут быть дешифрованы сторонними инструментами;

  • Он заражает устройства на Windows, а также, возможно, на Mac и Android;

Acronis Active Protection — это единственная технология, которая способна блокировать все версии Osiris и одновременно мгновенно восстанавливать зашифрованные данные, в том случае, если Acronis True Image 2017 New Generation был запущен на компьютере в момент вредоносной атаки.

Атаки на решения для резервного копирования


Чтобы не дать жертвам атаки восстановить файлы из резервных копий, Osiris отключает службу теневого копирования томов Microsoft (VSS). Эта технология входит в Microsoft Windows и позволяет делать резервные копии вручную и автоматически, либо делает моментальный снимок данных.

Osiris также удаляет уже созданные теневые копии, запуская команду «vssadmin.exe Delete Shadows /All /Quiet» в тихом режиме. Это не даёт пользователю провести восстановление системы из сохранённых данных на инфицированном компьютере.

Служба Microsoft VSS не содержит мер безопасности для своей защиты и создаёт теневые копии из удалённых или изменённых. Acronis предсказывал такие атаки на решения для резервного копирования и внедрил техники самозащиты в собственные продукты. Независимые тесты уже показали, что продукты Acronis устойчивы к атакам, используемых Osiris.

Эволюция семейства Locky


Трояны-вымогатели Locky получили очередное обновление: новый шифровальщик-вымогатель назвали Osiris в честь египетского бога загробного мира. Вредонос вышел с обновлённым функционалом, разработанным для атак в том числе на файлы программ резервного копирования, и умеет избегать обнаружения. Он добавляет к зашифрованным файлам расширение.orisis и использует стандартную схему программ-вымогателей: заражение, шифрование, вымогательство. Osiris, основанный на лучших наработках семейства Locky, является одной из наиболее серьёзных угроз безопасности, с которой сегодня сталкиваются пользователи компьютеров.

Locky был впервые обнаружен в феврале 2016 г. и с тех пор претерпел как минимум семь изменений, пытаясь оставаться на шаг впереди поставщиков решений в области компьютерной безопасности, предпринимающих попытки выявить и остановить этот тип программ-вымогателей. Существуют предположения, что Locky был разработан в России, поскольку ранние версии программы не заражали компьютеры с российской локалью. Также во вкладках Excel используются российские названия, а функции скрипта названы русскими сленговыми словами.

  • .locky — февраль 2016 г.
  • .zepto — июнь 2016 г. Через месяц Locky начал поддерживать оффлайн-шифрование при помощи встроенных ключей RSA в случае, если не мог получить доступ к своему управляющему серверу.
  • .odin — сентябрь 2016 г.
  • .shit,.thor — октябрь 2016 г.
  • .aesir — ноябрь 2016 г.
  • .zzzzz,.osiris — декабрь 2016 г.

Служба безопасности Acronis исследовала следующий образец вымогателя Osiris:

  • Имя файла: ekijLpDlRXB.zk
  • Размер: 161625 байт
  • Дата: 29.01.2017 г.
  • MD5: 3545436c22a9a43e29396df87823013d

Важно отметить, что Osiris также заражает устройства Apple Mac и Android. Эксперты Acronis сейчас занимаются изучением данного вопроса, по которому планируется выпустить отдельный отчёт.

Схема распространения


1. Спам. Обычно Osiris распространяется через спам-письма со словами «Счёт» или «Подтверждение заказа» в теме письма и сжатое вложение, содержащее вредоносный скрипт. Это может быть файл Excel с макросом на VBA или исполняемый скрипт.jse (дроппер). При исполнении он загружает DLL-файл и запускает его при помощи Rundll32.exe.

Авторы Osiris пытаются спрятать вредонос, не используя расширение.exe, применяя взамен стандартные компоненты Windows для запуска своих скриптов и DLL-файлов.


Пример спам-письма, содержащего вложение, заражённое Osiris (изображение используется с разрешения BleepingComputer).

2. Вредоносная реклама. Мошенники, использующие программы-вымогатели, используют легитимные рекламные сети для размещения особых рекламных объявлений, созданных для распространения программ-вымогателей при небольшом участии пользователя или без него. Среди сайтов, заражённых в прошлом году, — BBC, MSN и AOL, причём кибер-преступники использовали для достижения своих целей автоматизированные рекламные сети, позволявшие им размещать вредоносную рекламу, после того как их аккаунт проходил первичную проверку.

Заражение корпоративных сетей


Osiris, как и Locky, является трояном с методом распространения по принципу червя. Он обладает способностью распределяться по сети без участия пользователя. Некоторые жертвы его атак отмечали необходимость отключить контроллер доменов, чтобы остановить распространение атаки. Osiris способен заражать тысячи общих папок, диски с общим доступом по сети, а также другие устройства в сети. Для любого бизнеса ущерб от потери такого числа устройств одной сети может оказаться непоправимым.

Osiris также может распространяться через CRM/системы поддержки клиентов (включая облачные) за пределами одной организации. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, откроет вложение в Excel и заразит сеть.

Инфицирование


Дроппер Osiris.js использует функцию cheburgen для загрузки вредоносного кода ekijLpDlRXB.zk. (Cheburgen — составное слово, отсылающее к персонажам хорошо известного мультфильма Чебурашке и Крокодилу Гене).

Последняя версия дроппера Osiris от 29 января 2017 г., имеет вес 71 Кбайт, что вдвое больше предыдущей версии, выпущенной в декабре 2016 г. В настоящий момент Windows Defender не может её обнаружить.


На скриншоте API Monitor видно выполнение функции cheburgen.

Первая попытка загрузить вредоносный код была предпринята с помощью польского сервера.


На скриншоте Process Monitor видно, как дроппер пытается связаться home.net.pl

Однако потом программа переключилась на российский сервер elixe[.]net, который в настоящее время блокируется большинством антивирусных программ.


На скриншоте утилиты Process Monitor показан процесс загрузки вредоносной программы с elixe[.]net


Процесс загрузки ekijLpDlRXB.zk в каталог временных файлов пользователя.


На скриншоте Wireshark показана загрузка вредоносного кода размером 161894 байт. IP 92.255.47.9, вероятно, принадлежит пулу IP-адресов управляющего сервера Osiris.

После успешной загрузки ekijLpDlRXB.zk активируется через rundll32.exe при помощи следующей команды (для данного экземпляра):

«C:\Windows\System32\rundll32.exe C:\Users\%UserName%\AppData\Local\Temp\EKIJLP~1.ZK,0QaQzdZN8Pft5YPfVEdEYu»


На скриншоте Process Monitor показан процесс исполнения при помощи runndll32.exe

После активации Osiris сразу начинает шифровать файлы и показывает сообщение с требованием выкупа, используя браузер по умолчанию, например, Firefox:

firefox.exe -osint -url "%USERPROFILE%\DesktopOSIRIS.htm"


Сообщение Osiris с требованием выкупа.

Обнаружение виртуальной среды


По-видимому, механизм обнаружения виртуальных машин, представленный в июле 2016 г., не справился с задачей. Авторы Osiris улучшили логику, заменив функцию GetProcessHeap() функцией GetOEMCP(), обновили критерии обнаружения виртуальной среды на основе циклов ЦП (20 вместо 10), а также увеличили число проверок (с одной до двух). Также они изменили критерии обнаружения виртуальных машин, сократив разницу времени выполнения в виртуальной и физических средах с десяти до трёх раз.

Обнаружение виртуальных машин призвано помешать антивирусным экспертам тестировать эту вредоносную программу внутри виртуальных машин. Этот алгоритм, однако, неэффективен, так как эксперты Acronis смогли успешно провести тестирование в виртуальной среде. Псевдокод функции представлен ниже:

BOOL passNewImprovedVMCheck()
{
       unsigned __int64 tsc1;
       unsigned __int64 tsc2;
       unsigned __int64 tsc3;
       BOOL firstPassResult;
       BOOL secondPassResult;
       int i = 0;

// Пробуй это выполнить 20 раз (более старые версии Locky делали это 10 раз) — первая попытка, более старые версии Locky делали всего одну попытку
       for (i = 0; i < 20; i++)
       {
        tsc1 = __rdtsc();

 // Выполнение этой функции должно происходить быстрее, чем CloseHandle на физической машине
        GetOEMCP();
        tsc2 = __rdtsc();

// Выполнение этой функции должно занимать больше времени, чем GetOEMCP на физической машине
        CloseHandle(0);

        tsc3 = __rdtsc();
 // Потребовалось ли как минимум в три раза больше (в более старых версиях Locky было «в десять раз»)
 // циклов центрального процессора на выполнение CloseHandle по сравнению с GetOEMCP()?
 if ( ( LODWORD(tsc3) - LODWORD(tsc2) ) / ( LODWORD(tsc2) - LODWORD(tsc1) ) >= 3)
          firstPassResult = TRUE;
       }

       if (!firstPassResult)           
       {
// Отношение разницы между временем выполнения GetOEMCP и CloseHandle неизменно остаётся малым — видимо, мы в виртуальной машине!
         return FALSE;
       }

// Делай вторую попытку
...
 if ( ( LODWORD(tsc3) - LODWORD(tsc2) ) / ( LODWORD(tsc2) - LODWORD(tsc1) ) >= 3)
         secondPassResult = TRUE;
       }      

       if (!secondPassResult) 
       {
// Отношение разницы между временем выполнения GetOEMCP и CloseHandle неизменно остаётся малым — видимо, мы в виртуальной машине!
         return FALSE;
       }
       return TRUE; }

Как защититься от Osiris


Расшифровка файлов Osiris «вручную» невозможна, так как он использует стойкие алгоритмы шифрования. Вероятность появления утилит для расшифровки крайне мала.

При этом Acronis Active Protection успешно защищает компьютерные системы от вредоноса Osiris. В основе инновационной технологии, используемой в Acronis True Image 2017 New Generation и находящейся в процессе получения патента, лежат поведенческие эвристики, за счёт чего она легко выявляет и останавливает деятельность Osiris. Она также позволяет пользователю мгновенно восстановить любые зараженные файлы.


Обнаружение Osiris на компьютере, на котором запущен Acronis True Image 2017 New Generation и включена защита Acronis Active Protection.


На скриншоте показано, что атака была остановлена, но несколько файлов оказались зашифрованы.


Четыре файла, зашифрованные вымогателем Osiris.


Все файлы были мгновенно восстановлены до исходного состояния при помощи Acronis Active Protection без уплаты выкупа.

Вы можете позволить себе потерять данные за восемь лет?


По данным СМИ, с помощью этой разновидности программы-вымогателя Osiris было произведено заражение полицейского департамента Кокрелл Хилл в Техасе, которое привело к потере важных свидетельских данных за восемь лет.

«В официальном сообщении полицейского департамента сказано, что вредонос пришёл с «клонированного адреса, имитирующего адрес, выданный департаментом», и после успешного заражения потребовал выкуп в размере 4-х биткоинов, что на сегодняшний день равно примерно 3 600 долларов США, или, как сказано в сообщении департамента, «почти 4 000 долларов США»», — сообщает новостной сайт The Register. Данные были потеряны из-за того, что департамент не использовал надлежащие процедуры резервного копирования и активной защиты данных типа Acronis Active Protection.

Вы можете позволить себе стать следующей жертвой преступления, связанного с программами-вымогателями? Не думаем, поэтому рекомендуем защитить данные на своих Windows машинах с помощью Acronis True Image 2017 New Generation c функцией Acronis Active Protection.

Скачать White-paper про Acronis Active Protection
Автор: @Grnnic
Acronis
рейтинг 86,59
Похожие публикации

Комментарии (9)

  • –1
    Он добавляет к зашифрованным файлам расширение.orisis
    Все так и есть, Orisis? Или это опечатка? Не совсем понятно почему так назвали.
  • +2
    Картинки неразборчивые. Для рекламы сойдёт и так?
    • +2
      Специально для вас я восстановил картинки особым депикселизатором:
      https://hsto.org/getpro/habr/post_images/486/e36/785/486e367855c8ceadb40fc4ab514df185.png
      https://habrastorage.org/getpro/habr/post_images/348/b40/bfd/348b40bfddd5b0b696b0d52bfd9fcdbb.png
      https://habrastorage.org/getpro/habr/post_images/fd8/6d2/16b/fd86d216bcf6e7251e0c8a72ab1553da.png
      https://habrastorage.org/getpro/habr/post_images/f0b/5fb/d49/f0b5fbd49fb7a3b09a3440023cfd8a8f.png
      https://habrastorage.org/getpro/habr/post_images/ad3/509/082/ad35090825c470a73974f158cc0e0f54.png
      https://habrastorage.org/getpro/habr/post_images/1f5/d40/73b/1f5d4073b7bed48432c1791a18319447.png

      Не думай @ критикуй!
    • +3
      в дополнение к комменту от lostpassword,
      Заголовок спойлера
      image
      • +1
        спасибо! прошу прощенья!
  • 0

    Значит, rundll32 — плохо, пользовательские процессы иногда её используют, а включать applocker на дллки — верный способ убить производительность всего остального. Хотя вроде как в windows 8+ большинство программ от неё отвязали, всякое легаси может с её помощью что-то и запускать, и тогда может быть проще заблокировать запуск rundll32 для всех, кроме системы.

  • +1
    Acronis Active Protection — это единственная технология, которая способна блокировать все версии Osiris и одновременно мгновенно восстанавливать зашифрованные данные, в том случае, если Acronis True Image 2017 New Generation был запущен на компьютере в момент вредоносной атаки

    Вот когда читаешь такие строки после всех «пугалок», начинает возникать параноидальное ощущение, что уважаемый Acronis сам приложил руку к этому Osiris'у…
  • 0
    Хосподя, опять…
    То продаваны антивирусов пугаю, теперь вот Акронис решил бизнес диверсифицировать.
    Software Restriction Policy – скачать бесплатно, без регистрации и СМС.
    После простейшей настройки за 15 минут не нужны никакие Акронисы, антивирусы и прочая дорогостоящая муть.
    Но нормальные герои лёгких путей не ищут?
  • 0
    Вся статья — игра маркетинга на страхах неопытных пользователей.

    В конце января специалисты Acronis обнаружили новый сэмпл вредоноса-вымогателя Osiris, который легко обходит защиту Windows Defender.
    Не припомню шифровальщиков, которых Windows Defender смог остановить, когда это требовалось, а очень часто оставалось в «никогда»

    Чтобы не дать жертвам атаки восстановить файлы из резервных копий, Osiris отключает службу теневого копирования томов Microsoft (VSS).
    Божечки. Они смогли из под учетки пользователя с правами локального администратора отключить почистить теневые копии и отключить VSS. Шок! Сенсация!

    Служба Microsoft VSS не содержит мер безопасности для своей защиты и создаёт теневые копии из удалённых или изменённых.
    Вы намеренно теплое с мягким смешиваете. VSS сам по себе предназначен для отслеживания изменений. Функционал бэкапа в другие места, восстановления и прочих перделосвистелок реализовывается другим ПО. Так что, если от администратора ПК пришла команда почистить историю изменений — значит это нужно сделать.

    --------------новый шифровальщик-вымогатель назвали Osiris
    Он добавляет к зашифрованным файлам расширение.orisis
    полагаю, вы имя файла не копировали :)

    Osiris, как и Locky, является трояном с методом распространения по принципу червя. Он обладает способностью распределяться по сети без участия пользователя.
    Опять добавляете паникерства. При описание опускаете важное предложение из описания мелкомягких: Generally, a network worm spreads by an exploit of vulnerable software. Т.е. он не каким то магическим образом расползается по сети, а проникает через софт с уязвимостями, ну или если у запустившего были соответствующие административные права для работы по сети. Например, права администратора домена.

    Некоторые жертвы его атак отмечали необходимость отключить контроллер доменов, чтобы остановить распространение атаки.
    Больше адского треша! Полагаю это тот комментарий:
    I had a user hit with Osiris just before Xmas. Her machine got encrpted and it started on network drives but we noticed a problem and killed the domain controller — it seemd to stop the network encryptions before it got too bad.
    Поверьте, этому сказочному животному из упряжки Санта Калауса даже ваш продукт не поможет.

    Osiris также может распространяться через CRM/системы поддержки клиентов (включая облачные) за пределами одной организации. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, откроет вложение в Excel и заразит сеть.
    Здесь прекрасно все. Но «распространяться» это использовать специфичный функционал. Например, оно было бы должно само авторизоваться в сервисдеске и создавать документы на согласование, а у вас это банальная почта, адрес сервисдеска почти всегда есть, в адресной книге каждого первого корпоративного пользователя. Прикрепленные документы всегда прицепляются к заявке, это не магия «парсеров». Ну и как я уже отмечал выше, поскольку ВСЕ в вашем маркетинговой реальности работают только с правами доменных админов, то и с распространением шифратора по сети проблем нет. Идеальный кейс для продажника систем резервного копирования: Инженер без мозгов, в сервисдеске, с правами доменного админа, запускает файл с уязвимостями и/или разрешенным исполнением скриптов, не имеет антивируса на ПК, имеет полный доступ в интернет.
    Вакханалия какая то.

    Скриншот с Acronis Active Protection говорит лишь о том, что легальная программа с валидным сертификатом пытается внести изменения в файлы. Вопрос лишь в том, сколько раз в день оное вылазиет при обычной работе, и если что то легальное запускалось через rundll32, и было добавлено в Доверенные, будет ли оно спрашивать, если исполняемая библиотека изменится?

    Все файлы были мгновенно восстановлены до исходного состояния при помощи Acronis Active Protection без уплаты выкупа.
    Ну мгновенно из внешних хранилищ не восстанавливаются. Хотя два файла по 30 килобайт восстановятся быстро. Сегодня Озирис чистит копии VSS, затем начнет и ваши локальные хранилища и индексы чистить или повреждать. Продукт, как я понимаю, у них активно развивается.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка