Pierwsze noworoczne, świeże złośliwe oprogramowanie właśnie się ujawniło a palce programistów są jeszcze ciepłe od wpisywania kolejnych linijek kodu ;) Mowa o Ransom32, które wykorzystuje JavaScript i jest pierwszym tego typu oprogramowaniem działającym zarówno w systemach operacyjnych Windows, Linux jak i Mac. Choć zaczęliśmy optymistycznie, to jednak nie ma powodów do śmiechu. Ransom32, oprogramowanie z nowego rodzaju Ransomware-as-a-Service (RaaS) jest proste i skuteczne, umożliwiając atakującym jego kontrolę poprzez specjalny panel, dzięki któremu wskazują ofiarom adresy Bitcoin, na które muszą przekazywać wpłaty, aby mogły one odzyskać dostęp do swoich stacji roboczych. Atakujący mogą również śledzić swoje wyłudzenia i modyfikować złośliwe oprogramowanie.
Co więcej i na nieszczęście, złośliwe oprogramowanie Ransom32 jest ogólnodostępne i potencjalny atakujący łatwo może je wykorzystać do przestępstwa, zapisując się do ukrytego serwera poprzez stronę w sieci TOR. Jedyne wymaganie to posiadanie adresu Bitcoin, na który mają być przelewane wpłaty:
Po wpisaniu adresu Bitcoin, otrzymuje się dostęp do specjalnego panelu, o którym wspomnieliśmy wcześniej, a wygląda on tak:
Po skonfigurowaniu opcji w panelu, atakujący może ściągnąć gotowy, specjalnie przygotowany i zainfekowany plik (client.scr), celem wysłania go do swojej ofiary. W odróżnieniu od innych złośliwych plików tego typu mających przeważnie rozmiar nieprzekraczający 1 MB, złośliwa paczka z Ransom32 ma rozmiar aż 22 MB (jedna z jego nielicznych wad).
Ransom32 działa bardzo podobnie do CryptoLockera. Ransom32 korzysta z samorozpakowującego się archiwum WinRARa, wykorzystując platformę NW.js do infiltracji swojej ofiary (platforma bazująca na popularnym Node.js):
Jak widzimy na powyższym obrazku, Ransom32 zawiera pliki i foldery takie jak:
Złośliwe oprogramowanie łączy się z serwerem C&C za pośrednictwem sieci TOR, poprzez port o numerze 85. Ransom32 szyfruje dane ofiary za pomocą 128-bitowego klucza szyfru AES, uniemożliwiając dostęp do plików. Co więcej, dla każdego pliku generowany jest nowy klucz i jest on szyfrowany za pomocą algorytmu RSA oraz klucza publicznego uzyskanego podczas pierwszego połączenia z serwerem C&C Ransom32.
Co więcej i na nieszczęście, złośliwe oprogramowanie Ransom32 jest ogólnodostępne i potencjalny atakujący łatwo może je wykorzystać do przestępstwa, zapisując się do ukrytego serwera poprzez stronę w sieci TOR. Jedyne wymaganie to posiadanie adresu Bitcoin, na który mają być przelewane wpłaty:
Strona w sieci TOR, z której można pobrać oprogramowanie Ransom32 (źródło: http://blog.emsisoft.com) |
Po wpisaniu adresu Bitcoin, otrzymuje się dostęp do specjalnego panelu, o którym wspomnieliśmy wcześniej, a wygląda on tak:
Panel sterujący oprogramowaniem Ransom32 (źródło: http://blog.emsisoft.com) |
Ransom32 działa bardzo podobnie do CryptoLockera. Ransom32 korzysta z samorozpakowującego się archiwum WinRARa, wykorzystując platformę NW.js do infiltracji swojej ofiary (platforma bazująca na popularnym Node.js):
"Paczka" z oprogramowaniem Ransom32 (źródło: http://blog.emsisoft.com) |
Jak widzimy na powyższym obrazku, Ransom32 zawiera pliki i foldery takie jak:
- chrome - licencja GPL;
- chrome.exe - zawiera aplikację NW.js oraz złośliwy kod;
- ffmpegsumo.dll, nw.pak, icudtl.dat i folder locales - pliki wymagane do prawidłowego funkcjonowania aplikacji NW.js;
- rundll32.exe - pod tym plikiem kryje się klient sieci TOR;
- s.exe - narzędzie Optimum X Shortcut, służące do manipulacji Pulpitem i skrótami;
- g - zawiera konfigurację złośliwego oprogramowania wytworzoną poprzez panel;
- msgbox.vbs - skrypt wyświetlający wyskakujący komunikat zainfekowanemu użytkownikowi;
- u.vbs - skrypt usuwający pliki i foldery.
Plik "g" zawierający konfigurację Ransom32 w formacie JSON (źródło: http://blog.emsisoft.com) |
Złośliwe oprogramowanie łączy się z serwerem C&C za pośrednictwem sieci TOR, poprzez port o numerze 85. Ransom32 szyfruje dane ofiary za pomocą 128-bitowego klucza szyfru AES, uniemożliwiając dostęp do plików. Co więcej, dla każdego pliku generowany jest nowy klucz i jest on szyfrowany za pomocą algorytmu RSA oraz klucza publicznego uzyskanego podczas pierwszego połączenia z serwerem C&C Ransom32.
Komunikat o zarażeniu się oprogramowaniem Ransom32 (źródło: http://blog.emsisoft.com) |
Po wyświetleniu takiego komunikatu ofiara ma x dni na dokonanie wpłaty x Bitcoinów. Gdy ofiara nie zapłaci w ciągu x dni, kwota rośnie do x Bitcoinów (na dzień dzisiejszy, 1 Bitcoin to ca. 1700 PLN). Ilość Bitcoinów do zapłaty oraz liczba dni zależy od wprowadzonych ustawień w panelu Ransom32. Po pojawieniu się komunikatu jak wyżej, automatycznie następuje szyfrowanie wszystkich plików jednego z poniższych rozszerzeń:
*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat
Nie szyfruje ono plików znajdujących się w folderach:
*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat
Nie szyfruje ono plików znajdujących się w folderach:
- :\windows\
- :\winnt\
- programdata\
- boot\
- temp\
- tmp\
- $recycle.bin\
SHA256 pliku chrome.exe:
01d3becf7f1abe4599b8c2f5153443d8b5e3ede50f65889939323b223ee2944a
Choć sygnatury złośliwych plików Ransom32 wskazują, że istnieje ono od prawie 3 tygodni, to według VirusTotal na dzień dzisiejszy wykrywa je tylko 6 antywirusów:
Kopia oprogramowania Ransom32 po raz pierwszy odkryta i zanalizowana została przez Emsisoft. Więcej informacji w języku angielskim o tym złośliwym oprogramowaniu można znaleźć na blogu Emsisoft pod tym adresem:
http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/
Na obecna chwilę nie wiadomo kto stoi za kampanią złośliwego oprogramowania Ransom32.
http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/
Na obecna chwilę nie wiadomo kto stoi za kampanią złośliwego oprogramowania Ransom32.
Źródło:
http://blog.emsisoft.com/2016/01/01/met-ransom32-the-first-javascript-ransomware
0 komentarze:
Prześlij komentarz