Компания
511,74
рейтинг
2 января в 19:06

Разное → Специалисты Emsisoft обнаружили вымогатель на JavaScript

Специалисты компании Emsisoft обнаружили вредоносную программу — вымогатель, которая написана на JavaScript. Она получила название Ransom32 и используется злоумышленниками для вредоносных кампаний, аналогичных распространению многих других семейств такого типа вредоносного ПО. Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.



Использование JavaScript делает вымогатель кроссплатформенным, он может использоваться как для Microsoft Windows, так и для Linux и Apple OS X. Ключевой особенностью Ransom32 является модель распространения этого вымогателя для киберпреступников. Она представляет из себя модель Software as a service (SaaS), при этом для получения доступа к административной панели управления вредоносной программой и ее генерации, им нужно всего лишь указать адрес своего кошелька Bitcoin.


Рис. Панель управления вымогателем Ransom32. Видно, что там указан адрес электронного кошелька оператора (владельца), статистика зараженных компьютеров, сумма уже полученных от пользователей средств, и настраиваемые параметры вредоносной программы. (Данные Emsisoft).

После нажатия на кнопку «Download client.scr», для оператора будет сгенерирован архив с файлами вредоносной программы с указанными им в панели управления параметрами. Этот архив имеет существенный размер, который составляет более 22MB. Размер явно превышает тот, который обычно используется для файлов других вредоносных программ и, как правило, не превышает 1MB.


Рис. Файлы вымогателя внутри самораспаковывающегося SFX-архива.

Вредоносная программа использует скриптовый язык WinRAR для автоматической распаковки содержимого архива в директорию с временными файлами пользователя, затем на исполнение запускается файл chrome.exe. Предназначение файлов из архива следующее.
  • «chrome» содержит копию лицензионного соглашения GPL.
  • «chrome.exe» представляет из себя приложение NW.js и содержит код вредоносной программы, а также среду (framework), необходимую для его успешной работы.
  • «ffmpegsumo.dll», «nw.pak», «icudtl.dat» и «locales» содержат данные, которые необходимы среде NW.js для работы.
  • «rundll32.exe» представляет из себя переименованную копию файла клиента Tor.
  • «s.exe» представляет из себя переименованную копию файла инструмента Optimum X Shortcut, который используется для создания и управления ярлыками на рабочем столе и меню пуск.
  • «g» представляет из себя конфигурационный файл вредоносной программы, данные для которого были указаны в панели управления.
  • «msgbox.vbs» представляет из себя небольшой скрипт, который отображает настраиваемый текст всплывающего окна (popup).
  • «u.vbs» представляет из себя небольшой скрипт, который получает список всех файлов в указанной директории и удаляет их.


Рис. Конфигурационный файл вредоносной программы в формате JSON.

Файлы NW.js представляет из себя специальную среду, которая позволяет разрабатывать приложения на JavaScript для Windows, Linux, OS X. Среда основана на популярных платформах Node.js и Chromium. Используя ее, разработчик может интегрировать свой скрипт в приложение для любой из этих платформ. Таким образом, злоумышленники могут просто адаптировать вымогатель для платформ Linux и OS X.

После исполнения файла вымогателя в системе, он извлечет из себя все вышеперечисленные файлы в директорию с временными файлами. Далее он копирует себя в директорию %AppData%\Chrome Browser. Файл s.exe используется для создания ярлыка в директории автозапуска пользователя с названием «ChromeService». Далее вредоносная программа запускает на исполнение файл клиента Tor для установления подключения со своим C&C-сервером на 85-й порт. После подключения к серверу, вымогатель отображает пользователю сообщение с требованием выкупа.


Рис. Сообщение с требованием выкупа.

После этого Ransom32 запускает процедуру шифрования файлов для следующих расширений.

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

При этом Ransom32 не пытается шифровать файлы в директориях, которые содержат в названиях следующие строки.
  • :\windows\
  • :\winnt\
  • programdata\
  • boot\
  • temp\
  • tmp\
  • $recycle.bin\

Шифрование файлов осуществляется с помощью симметричного алгоритма AES и 128-битного ключа в блочном режиме CTR. Новый ключ шифрования генерируется для каждого файла. Ключ шифруется с использованием алгоритма RSA и публичного ключа, который загружается с управляющего сервера в процессе первого подключения.


Рис. Фрагмент сетевого взаимодействия между вредоносной программой и C&C-сервером, когда последний посылает публичный ключ RSA (длина ключа помечена желтым, ключ зеленым) в ответ на отправку адреса кошелька биткоин (фиолетовый).

Зашифрованный публичным ключом ключ AES сохраняется вместе с данными зашифрованного файла. Вредоносная программа также предлагает жертве расшифровать один файл для демонстрации того, что злоумышленники действительно способны расшифровать файлы. При этом вредоносная программа отправит на управляющий сервер зашифрованный ключ AES указанного файла и получит расшифрованную версию ключа.

Для защиты своих данных от подобного рода вредоносного ПО мы рекомендуем регулярно обновлять операционную систему, своевременно выполнять резервное копирование данных и использовать антивирусное ПО.
Автор: @esetnod32
ESET NOD32
рейтинг 511,74

Комментарии (30)

  • +2
    Далее вредоносная программа запускает на исполнение файл клиента Tor для установления подключения со своим C&C-сервером на 85-й порт. После подключения к серверу, вымогатель отображает пользователю сообщение с требованием выкупа.
    <...>
    После этого Ransom32 запускает процедуру шифрования файлов для следующих расширений.
    <...>
    Новый ключ шифрования генерируется для каждого файла. Ключ шифруется с использованием алгоритма RSA и публичного ключа, который загружается с управляющего сервера в процессе первого подключения.
    А если соединение с C&C-сервером установить не удастся, то ключ шифрования не будет загружен и файлы не будут зашифрованы?
  • +1
    Ну вот, теперь из-за этих уродов антивирусы начнут блокировать приложения на NW.js и Electron!
    • +1
      … Пока не научатся полноценно анализировать Javascript код. Интересно, кто из AV вендоров первый встроит себе V8?
      • 0
        Если я правильно помню, то уже 1-2 года назад что-то было реализовано (анализ JS). Возможно сейчас уже многие это умеют.
        • 0
          Насколько мне известно, есть JavaScript сигнатуры для анализа веб-трафика (в комплексных продуктах); и есть анализ вызовов WinAPI, не зависящий от того, откуда они дергаются. Анализ же нативного исполняемого кода на порядок более глубок, там возможна куча эвристик и т.д.

          Было бы здорово, если бы специалисты ESET пролили свет на этот момент.
        • 0
          Есть анализаторы, но весьма глупые. Их можно атаковать под разными углами. Например циклами на миллионы итераций, чтобы анализатор затаймаутился и так далее. Мало того, их легко детектировать, а следовательно и не запускать зловред вообще и не попадаться на удочку.
  • +2
    Таким образом, злоумышленники могут просто адаптировать вымогатель для платформ Linux и OS X.

    Напомнило старую шутку:
    a: а linux'вская версия gcc может exe'шник выдать?
    b: Может.
    b: g++ file.c -o file.exe
    b: ./file.exe — всё работает

    А главное адаптировать пользователей линукса чтобы они скачали какой-то scr файл, затем сделали chmod +x и затем выполнили ( подозреваю что еще и с рут правами ).
    А так да, адаптировать легко.
    • 0
      Зачем рут права?
      Документы у пользователя все под его учеткой, а значит шифровальщик до них доберется.
      Ну да, у вас будет рабочая не поврежденная ОС. Но это не спасет доки.
      • +1
        Рут права затем, что привыкли уже люди так писать. Разумеется правильно написанная программа обдерет линукс пользователя не хуже чем любого другого. Но много ли их пишут, правильных то? Это во-первых. А во вторых как я уже говорил — на линукс систему нужно как-то попасть, и это как раз главная сложность, упускаемая в подобных новостях.
        • +3
          Попадет так, как большая часть вирусни попадает… Нужно будет некоторое ПО, скачают его из сомнительного источника, запустят… Получат результат.
          Если уж всякие sourceforge'и засветились на всовывании в дистры мусора, то вполне можно ожидать что неискушенному пользователю линукса, который не всегда обновляется через рпеозитории и уж тем более не занимается компиляцией из исходников, вирусня придет вполне традиционными способами.
      • 0
        может затем, что без рут прав он не запустит файлы
        в папках C:\Users\%UserName% и %TEMP% %корень диска% %сменный носитель%
        Ну а если у вас еще не измена ассоциация на scr файлы, то мне вас жаль!

        Астрал Отчет вот хотят права админа… Ребята из Астрала, стыд и срам и пепел на вашу голову!!!
        • +2
          «рут права», «C:\»… вижу противоречия. :)))
  • 0
    В списке расширений нет .1cd; значит это не наших умельцев рук дело.
    • 0
      А что такое .1cd? Что-то поиск сходу ничего внятного не выдал.
      • 0
        Как это не выдал? =D Первый результат — файлы баз 1C.
        • +1
          Ха, ну вы меня прям за живое зацепили. Смотрите, я специально собрал первые 10 результатов по каждому из запросов, которые я искал:

          По запросу ".1cd format":
          1. ICD-10 Coding Structure | CIHI
          2. G2N | ICD-10 Structure: Format of ICD-10-PCS
          3. [PDF]Format of ICD-10 PCS (Inpatient Procedural Coding)
          4. [PDF]The Differences between ICD-9 and ICD-10 — UnityPoint ...
          5. List of ICD-9 codes — Wikipedia, the free encyclopedia
          6. ICD-10-CM — Centers for Disease Control and Prevention
          7. [PDF]ICD-10-CM/PCS The Next Generation of Coding Fact Sheet
          8. Dzuma — (audiobook, Polish edition) 1CD (format mp3 ...
          9. [PDF]ICD-9 and ICD-10 Diagnosis Code Comparison — NCTracks
          10. What is ICD? What Opens a ICD? File Format List from ...


          По запросу ".1cd extension":
          1. File Extension 1CD — What is .1cd file? How to Open 1CD File
          2. file extension 1cd — Главная — Uol
          3. .1cd File Extension — Software to open 1cd files
          4. File Extension 1Cd — blogzentertainment
          5. Open file extension 1cd: 1CDファイル — PC Pitstop
          6. ICD File — What is it and how do I open it? — File.org
          7. Open .1CD (Best)
          8. 1cd — Common File Extensions — awdit
          9. File Formats Recovered By PhotoRec — CGSecurity
          10. stricter check for .1cd file — testdisk — TestDisk & PhotoRec


          По запросу ".1cd description":
          1. Help. 2010 .1cd. CAM.dhrZ — Kickass Torrents
          2. Download Jai Veeru 2009 .1CD DVDRip.XviD Team IcTv ...
          3. Download Darling A Killer Love Story (2007) 1CD — DvDRip ...
          4. Win32/Filecoder.NCS | ESET Virusradar
          5. Win32/Filecoder.NCN | ESET Virusradar
          6. Trojan.Ransomcrypt.M | Symantec
          7. Download Not A Love Story.2011.(Audio Cleaned).1CD MC ...
          8. [PDF]Word Template — Check Point Blog
          9. Trojan.Encoder.398 — Dr.Web — innovative IT ...
          10. CryptoLocker-v3 Ransomware Hits Europe and USA ...


          По запросу ".1cd structure":
          1. Engineering Software Crack, Key, Licence Intergraph Smartplant
          2. SoftwareCK -> software.ck@gmail.com — eLumit
          3. Oil and Gas / Petrochemical / Petroleum and other… — Altova
          4. Topics from the 8th Annual UNCG Regional Mathematics and ...
          5. How can i build the simplest dc inverter? | Electronics and ...
          6. tool 1cd — acer 5620 игры мини футбол драйвера — Uol
          7. Intergraph Smart Plant 3D Suit v 8.0 2007 — openSUSE Forums
          8. tool 1cd — Uol
          9. Re: FREE DOWNLOAD POPULAR 2009's CRACKED SOFTWAR
          10. Re: crack engineering software very cheap price — The ...


          По запросу ".1cd file":
          1. .1cd File Extension — Software to open 1cd files
          2. ICD File — What is it and how do I open it? — File.org
          3. file extension 1cd — Главная — Uol
          4. File Extension 1CD — What is .1cd file? How to Open 1CD File
          5. Open .1CD (Best) — Open My Files
          6. Open file extension 1cd: 1CDファイル — PC Pitstop
          7. 1cd — Common File Extensions — awdit
          8. jagadam srt file subtitles
          9. Download Jai Veeru 2009 .1CD DVDRip.XviD Team IcTv ...
          10. Jagadam srt file subtitles — gosubtitles.com


          Причем всевозможные «How to Open 1CD File» — это тупо дорвеи, которые предлагают очистить компьютер от ненужных файлов 1cd и скачать специальный 1cd universal viewer, и т.д. и т.п.
          • 0
            Надо было поискать просто 1cd в Яндексе.
          • 0
            «1cd расширение», Гугл:
            1 результат
            =D

            Да и из Инкогнито выдаёт первым результатом даже на .1cd format. У Вашего Гугла какая локализация? Ох уж эта чёртова персонализация выдачи. Кстати, DDG на .1cd format выдал мусор, а на 1cd расширение — ту же ссылку первой.

            … Перечитал Ваши результаты, они какие-то очень странные 0_0
  • +3
    Ждем антивирус на JavaScript
  • +2
    Это такой албанский вирус который просит, чтоб его установили и запустили с нужными правами? И вообще, все эти «скриптовый язык WinRAR» и «запускает процедуру шифрования» делают впечатление, будто статью писала то ли секретарша, то ли для слабоумных, то ли слухи о том, что гугл-переводчик научился постить статьи на хабр на самом деле не слухи (это я к тому, что половину буков из статьи можно выкинуть без потери смысла). Хотя статья любопытная.
    • 0
      Я уже писал за это вот тут. У ESET статьи пишут домохозяйки, которые не разбираются в проблеме. Слава богу, что их не пускают писать код для самого антивируса.
      • 0
        Мне кажется, они разбираются в том, что пишут. Основная цель статьи — замотивировать людей, в том числе линукс и OSx пользователей, купить их антивирус, а с этим статья справляется на ура.
  • 0
    Думаю что авторы русскоговорящие. По особенностям грамматических ошибок на скриншотах.
    • 0
      Можно поподробнее? Просто мне так не кажется.
      • 0
        Прямой же перевод с русского:

        you must send [...] to the next bitcoin address — вы должны отправить на следующий биткоин-адрес.
        • 0
          Не думаю, что такая ошибка ограничена русским языком =)
      • 0
        нет такого bitcoin address. Есть bitcoin wallet adress :) Поэтому да, сдается мне, что crx все правильно сказал.
  • 0
    Мне у DrWeb подход нравится — защищенное хранилище для ценных файлов (использование которого, конечно, не отменяет необходимости создания обычных резервных копий ценного) и мониторинг их изменений на случай, если какая-то гадость стала массово эти файлы изменять.
    • 0
      Не хочу никого обидеть и уж тем более разжечь холивар, но ДрВеб уже не торт, имхо
      Ну а по теме, Разруха-она не в клозетах, она в головах (с) Преображенский
      P.S. Прочитал про защищенное хранилище — бэкап? Вы серьезно? А у Вас настроен?
      • 0
        Тоже не хочу разжечь холивар. Просто скажу, что на него как раз не так давно переполз, раньше не устраивал, а теперь да.
        Да серьезно. И защищенное хранилище юзаю, и облако, и на внешних дисках тоже есть.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное