- PVSM.RU - https://www.pvsm.ru -
Каждому из нас 2016 год запомнился по-своему. Физикам — обнаружением предсказанных Альбертом Эйнштейном гравитационных волн, политикам — конфликтами на Ближнем Востоке, музыкантам — Нобелевской премией Мира Бобу Дилану. Специалистам в области IT-безопасности 2016 запомнился невероятным всплеском активности программ-вымогателей, заставивших не только специалистов, но и простых обывателей выучить ответ на вопрос "Что такое ransomware? [1]".
Сейчас на дворе 2017 год, и нет сомнений, что «ransomware» aka «программы-вымогатели» станут еще опаснее и продолжат свое наступление на данные пользователей. В опасности окажутся все пользователи, и либо вы, либо ваши друзья уже завтра могут столкнуться с этой угрозой.
«Предупрежден, значит вооружен», — подумали мы, провели детальный разбор одной из последних программ-вымогателей, а также подготовили небольшой прогноз на предстоящий год.
Начать хочется с прогноза, а «сладкое», в виде детального разбора программы-вымогателя, мы оставим на потом:
2016 год был тяжелым, но, по крайней мере, программы-вымогатели тогда еще не стали тем страшным оружием, которым им предстоит стать в 2017 году и которое будет успешно применяться, чтобы шантажировать знаменитостей, государственные органы и миллионы потребителей.
Ну а теперь, как и обещалось ранее, десерт — «DeriaLock, приправленный комментариями от компании Acronis». У этой программы-вымогателя несколько версий. На сайте BleepingComputer [2] упоминалась рождественская версии DeriaLock, а 26 декабря 2016 Karsten Hahn [3] из G-Data нашел еще одну, более новую, версию. Именно на последней версии DeriaLock (MD5: 0a7b70efba0aa93d4bc0857b87ac2fcb [4]) мы и решили остановить свое внимание. Мы обнаружили, что она не только блокирует компьютер, но также шифрует файлы и, если пользователь пытается решить проблему «классической» перезагрузкой компьютера, удаляет их.
Программа-вымогатель DeriaLock состоит из трех функциональных частей: блокиратора экрана, который впервые появился в рождественской версии, блокиратора-шифратора и модуля удаления файлов. Если вам интересно, как устроена работа блокиратора экранов, то подробная информация есть на BleepingComputer, мы же рассмотрим две последние части программы — блокиратор-шифратор и модуль удаления файлов.
DeriaLock это приложение .NET, написанное на Visual Basic и обфускацированное. Нужно отметить, что число блокираторов-шифраторов VB.NET существенно увеличилось за последние несколько месяцев, что может быть связано с открытием доступа к исходному коду [5] программы в образовательных целях.
Сначала отметим, что DeriaLock требует прав доступа администратора и .NET Framework 4.5. Пользователю будет предложено подтвердить повышение уровня доступа, если включен контроль учетных записей пользователей.
DeriaLock шифрует файлы, используя алгоритм симметрического шифрования AES-256 внутри следующих папок:
Шифратор-блокиратор содержит сложный пароль, который используется для вычисления 256-битного ключа шифрования AES и 16-битного вектора инициализации, что позволяет расшифровать файлы без выплаты денег вымогателям.
Для создания ключа шифрования и вектора инициализации, DeriaLock конвертирует парольный ряд («b3f6c3r6vctb9c3n789um83zn8c3tb7c3brc3b5c77327tbrv6b123rv6c3rb6c7tc3n7tb6tb6c3t6b35nt723472357t1423tb231br6c3v4») в байтовую строку, используя код ASCII для букв в парольном ряду и алгоритм хеширования SHA512. Первые 32 байта хеша являются ключом шифрования, следящие 16 байтов — вектором инициализации.
Когда процесс шифрования выполнен, пользователю приходит следующее сообщение:
Затем DeriaLock показывает сообщение о том, как вернуть файлы и разблокировать систему. Он также предупреждает пользователя, что попытка решить проблему путем перезагрузки компьютера может привести к удалению всех файлов:
В отличие от других видов программ-вымогателей DeriaLock требует выкуп в размере 30 USD/EUR на аккаунт «ARIZONACODE» в Skype, что, возможно, делает ее первой программой-вымогателем, использующей такой метод оплаты.
После внесения оплаты DeriaLock загружает модуль удаления файлов (MD5: 2a95426852af058414bbc9ca236208dd [6]) с внешнего сервера:
Каждую секунду программа проверяет содержимое файла по адресу:
arizonacode.bplaced.net/HF/SystemLocker/unlock-everybody.txt [7]
Если в файле цифра «1», тогда DeriaLock разблокирует систему: удаляет файл «C:Users%user%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupLOGON.exe», запускает файл «Explorer.exe» и закрывается.
Когда пользователь вводит ключ для разблокировки в предложенную форму, DeriaLock связывается с внешним сервером и проверяет, находится ли на сервере соответствующий txt-файл с именем содержащим идентификатор пользователя, например:
http://arizonacode.bplaced.net/HF/SystemLocker/UNLOCKKEYS/f5515aff329218c79cac09122bd970f2.txt [8]
Если такой файл есть, программа считывает ключ из файла и сверяет его с ключом, введенным пользователем в форму. Если два ключа совпадают, компьютер разблокируется, а файлы расшифровываются.
Если пользователь решит перезапустить систему, во время загрузки системы активируется модуль удаления файлов:
C:Users%user%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupLOGON.exe
Он также требует для запуска прав администратора.
Чтобы защищать себя, DeriaLock останавливает следующие процессы:
Когда система перезагружается, загруженный модуль удаления файлов также останавливает следующие процессы:
Когда пользователь пытается остановить работу программы-вымогателя, например, используя комбинацию клавиш Alt-F4, DariaLock блокирует такие попытки и показывает следующее саркастическое сообщение:
Очевидно, что в создании DeriaLock участвовал не один единственный разработчик. Версия, которую мы разбираем, имеет дополнительную машину в белом списке, отсутствующую в предыдущих версиях:
Как мы говорили выше, эта вредоносная программа, даже в своей последней версии, остается довольно простой и позволяет вам восстановить свои файлы без выплаты выкупа. Однако мы хотим подчеркнуть, что это все же требует некоторых знаний и навыков, поэтому производить описанные ниже действия придется на свой страх и риск. Предупреждаем, что в случае ошибки вы можете потерять все ваши данные.
Для разблокирования зараженной системы действуйте в соответствии с одним из следующих сценариев:
Если Windows работает в безопасном режиме:
C:Users%user%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupLOGON.exe
Если безопасный режим не активирован:
C:Users%user%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupLOGON.exe
Более безопасный способ — создать прокси-сервер для перехвата C&C-запросов с инфицированного компьютера.
Для расшифровывания файлов действуйте в соответствии с одним из следующих сценариев:
или
/HF/SystemLocker/UNLOCKKEYS/<ID>.txt
Acronis Active Protection способна обнаружить и защитить вашу систему от программы-вымогателя DeriaLock. Эта инновационная технология, впервые используемая в Acronis True Image 2017 New Generation, основана на поведенческих эвристиках и легко опознает и останавливает вредоносную активность DeriaLock. Она также дает возможность пользователю автоматически восстанавливать любые пораженные файлы.
→ Узнать больше об Acronis Active Protection [9]
Автор: Acronis
Источник [10]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/251353
Ссылки в тексте:
[1] Что такое ransomware?: http://www.acronis.com/en-us/blog/posts/what-ransomware
[2] BleepingComputer: https://www.bleepingcomputer.com/news/security/new-derialock-ransomware-active-on-christmas-includes-an-unlock-all-command/
[3] Karsten Hahn: https://twitter.com/struppigel
[4] 0a7b70efba0aa93d4bc0857b87ac2fcb: https://virustotal.com/en/file/4f5bff64160044d9a769ab277ff85ba954e2a2e182c6da4d0672790cf1d48309/analysis/
[5] исходному коду: https://github.com/SadFud/GG-Ransomware
[6] 2a95426852af058414bbc9ca236208dd: https://virustotal.com/en/file/4bd5d0fa9077155f8842e7163f8412e292a46e32e7e77404f220f9ffd4edecdb/analysis/
[7] arizonacode.bplaced.net/HF/SystemLocker/unlock-everybody.txt: http://arizonacode.bplaced.net/HF/SystemLocker/unlock-everybody.txt
[8] http://arizonacode.bplaced.net/HF/SystemLocker/UNLOCKKEYS/f5515aff329218c79cac09122bd970f2.txt: http://arizonacode.bplaced.net/HF/SystemLocker/UNLOCKKEYS/f5515aff329218c79cac09122bd970f2.txt
[9] Acronis Active Protection: http://www.acronis.com/ru-ru/personal/ransomware-protection/
[10] Источник: https://habrahabr.ru/post/323288/
Нажмите здесь для печати.