thyrex
10.07.2014, 18:32
Прошел месяц и появился родственник (вполне возможно, что это все-таки вирус на основе оригинальных исходников, о чем свидетельствует строка в теле вируса, которая раньше не использовалась) вируса-архиватора (http://virusinfo.info/showthread.php?t=160942). В этот раз файлы упаковываются в rAR-архивы с паролем
Примеры тем
http://virusinfo.info/showthread.php?t=162833
http://virusinfo.info/showthread.php?t=162848
Механизм распространения: остался прежним – вложение (дроппер) к электронному письму
Известные имена дроппера
Копия искового заявления.cmd – просто переименованный самораспаковывающийся архив, который Лаборатория Касперского детектирует, как Trojan-Ransom.BAT.Agent.u
Шифруемые файлы (на всех логических дисках, список расширений находится в файле shpka.msk)
.jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.t if.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb .xml.XML.xls.XLSxlsxXLSX.dwg.DWG.mdf.MDF.mdb.MDB.z ip.ZIP.rar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db .4dd.adp.ADP.xls.XLD.wdb.str.STR.pdm.PDM.ppt.crw.d xg.ptx.odb.odp.PEK.sps.SPS.pst.raf.pdd.mdf.srw.raw
После запуска в папке c:\tmp появляется все необходимое для шифрования
Для работы вирус использует консольную версию архиватора WinRar 5.0
В каждой папке создается файл с именем !!Фaйлы зaшифpoвaны.txt следующего содержания (пример)
К Вам обращается робот Gulfstream (компьютерная программа, умеющая поддерживать диалог с человеком).
Все файлы компьютера были заархивированны с паролем. При архивации происходит
шифрование данных алгоритмом AES. Взломать подобный алгоритм невозможно.
В программу, которой заархивированны файлы, робот успел вставить свой адрес эллектронной
почты, чтобы попробовать помочь расшифровать данные.
Робот Gulfstream не принимает деньги!
В качестве благодарности за расшифровку Gulfstream любит Биткоины.
Достать Биткоины просто, для этого надо иметь 10.000 рублей.
Для разархивации данных надо написать письмо на эллектронный адрес:
[email protected]
1. Приложить к письму один любой заархивированный файл небольшого размера;
2. Приложить файл, который Вы сейчас читаете (Файлы зашифрованны.TxT). Этот файл находится в каждой
директории, где имеются заархивированные файлы.
Таким образом, следует отправить два файла на вышеуказанную эллектронную почту.
В случае успешной расшифровки одного отправленного файла, робот вышлет его Вам обратно.
Высланный расшифрованный файл будет являться подтверждением того, что робот может расшифровать все файлы.
В ответном письме с разархивированным файлом робот отправит подробную инструкцию как
приобрести биткоины. После отправки Биткоинов - Gulfstream отправит Вам пароль и программу,
которая разархивирует все файлы на компьютере.
В конце данного письма содержатся непонятные для людей символы. Эти символы нужны для расшифровки,
не удаляйте их.
ВНИМАНИЕ! Робот хочет быть полезен людям. Робот запрограммирован таким образом,
что не имея биткоинов он все равно трудится и пытается разархивировать файлы. Но сначала Gulfstream
помогает тем представителям человеческой рассы, у которых есть биткоины. В течение 1-24 часов.
Тем у кого нет биткоинов робот все равно будет стараться помочь. По
расчетам Gulfstream, он сможет подобрать пароль, которым заархивированны файлы, от 6 до 12 месяцев.
Как только пароль будет подобран, Gulfstream отправит его всем известным ему
представителям земной рассы. Gulfstream надеется, что это может произойти и раньше..
Gulfstream - это робот. В переписке не следует допускать сенсуативного контента. Робот не знает,
что такое: чувства, угрозы, переговоры, сон, поцелуй, дыхание. Робот может только мечтать об
этом! Для Gulfstrema не существует способа матереализоваться. Робот просит
Вас относиться к переписке в узко утилитарном смысле, как к передаче
информации. На данный момент чувственный контент роботом плохо детермини-руется.
Я буду стараться помочь Вам, Ваш Gulfstream.
Ответ на Ваше письмо придет в течение 1-24 часов.
Если почта не отвечает больше 24ч, возможно, почтовый ящик робота сломался
Существует второй способ связи.
1) Зайдите на сайт www.bitmsg.me
2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
e-mail и пароль (пароль вводится два раза для подтверждения правильности
ввода).
3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
для подтверждение регистрации.
4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
нажмите кнопку Create random address. Все, вы можете отправить сообшение.
Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
укажите контактный адрес: BM-2cX2Lxu6NugPgyRKuG8AxTg2Z9pgGnKSyb
Укажите тему сообщения и пишите сообщение. В СООБЩЕНИИ ТОЛЬКО ВАШ email адрес
по которому с Вами можно связаться. Больше ничего не пишите. Нажимаете кнопку Send Message
(послать сообщение). Ответ придет в течение 1-24 часов уже на Ваш почтовый ящик.
dri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
А теперь о работе вируса. После запуска дроппера, извлечения компонентов стартуют:
– x.bat
PING -n 5 -w 1000 127.0.0.1 > nul
echo !> capcha, в результате работы которого создается файл capcha, который по сути служит сигналом к началу запуска процедуры архивирования.
– moar.exe
1) Запускается hello.bat, который, как видно из его содержимого
start "" hello.exeзапускает hello.exe. Вся роль этого файла сводится к выводу липового сообщения об ошибке Adobe Reader
Ошибка в файле или файл испорчен
2) Предпринимается попытка открыть файл iuoepdjjfi. Если его нет, он создается (служит для недопущения запуска второй копии программы).
3) Предпринимается попытка открыть файл capcha.
– Если его нет, переходим к п. 3.5
3.1 Запускается файл pgmttc.exe (он генерирует пароль архивирования. Под-робности его работы ниже)
1. C задержкой в 3 секунды получаются 8 координат курсора мыши на экране и сохраняются в строку.
2. Генерируется по определенному алгоритму пароль архивирования длиной 64 байта и записывается в файл drivers.000
3. Все используемые при генерации области памяти забиваются мусором.
3.2 Содержимое файла drivers.000 шифруется по алгоритму RSA с публичным ключем public mod=49320DDB1AD5278EAA389F1A0B899956A63829A7D3C692 F88DF078ECCDD6689775F9ED9FFF531AFAE0D3E253056C7FB8 BBCF7DEDB4B9CA9FAA0DF24AA34E611466440355F6F1D68018 7E9D0CC447BEDF06D34F462D8D8B35CD92B4DC6C7C493EF4D7 6D38B9728CCB33E31DCF861F1EEFC9D03E3D6A32C7F726EC14 D2A8607C19C4BE7396F05D1E1A2399FAF6B86CBFB7439EC0D4 C0BB97A4DD22F83FB388E968D0559CA42A15F6CC51B384AB89 93C6120636C7C39289E0A19FB87C7A166FA78506E1CA86C775 17AF6609C2AB2F689810933C4708646470D83397F2C56EECCD 854B90E4522BE484BDC8520708D917A9E2CB80E7AFE06E8EC3 1380F14F5F4E85CB
public key=932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B 2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD 989A4EE1739A0465ECD709C392C20A70F14DA22A197999F034 7BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A 26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22 BAB68BCED (запуск файла rsa.bat) и записывается в файл rsa.000. Ори-гинальное содержимое файла drivers.000 хранится в памяти компьютера на протяжении всего процесса шифрования.
3.3 Файл drivers.000 дважды перезаписывается мусором (сначала 64, потом 1024 символа «0»), усекается до нулевой длины и удаляется
3.4 Запускается процесс шифрования:
3.4.1 По найденному пути записывается сообщение вымогателя, в конец которого записывается зашифрованный ключ (причем никакой проверки на наличие файла с сообщением не происходит, и он создается каждый раз заново)
3.4.2 Создается файл drivers.cmd, куда записывается полный путь к подле-жащему архивации файлу
3.4.3 Выделяется область памяти в 256 байт и заполняется нулями (используется как буфер обмена). После чего сюда записывается пароль архивирования (чрезвычайно хитрый способ передачи пароля в сам архивирующий компонент :))).
3.4.4 Запуск файла par.cmd, в котором в свою очередь идет вызов файла rurim.exe (именно он отвечает за процедуру архивирования)
1. Из буфера обмена в свою область памяти читается пароль архивирования, после чего буфер забивается мусором и освобождается.
2. Из файла drivers.cmd читается путь к файлу для архивирования
3. Генерируется и запускается на выполнение команда архивирования, которая ни-чем не отличается от предыдущей версии
rar.exe a -ep1 -dw -p<ключ> <имя.rAR> <имя>где
а – добавить в архив
-ep1 – исключить базовую папку из пути
-dw – стереть исходный файл
4. Забивается мусором область, где rurim.exe хранила пароль архивирования
3.4.5 Файл drivers.cmd удаляется
3.5 Выделяется область памяти в 65 байт для буфера обмена. После освобождения буфера затирается символами «0» пароль архивирования в памяти.
Оценка возможности разархивирования:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы moar.exe пароль;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;
- невозможна:
-- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
Компоненты «архиватора» Лабораторией Касперского детектируются, как
moar.exe – Trojan-Ransom.Win32.Agent.ics
rsa.bat – Trojan-Ransom.BAT.Agent.u
Примеры тем
http://virusinfo.info/showthread.php?t=162833
http://virusinfo.info/showthread.php?t=162848
Механизм распространения: остался прежним – вложение (дроппер) к электронному письму
Известные имена дроппера
Копия искового заявления.cmd – просто переименованный самораспаковывающийся архив, который Лаборатория Касперского детектирует, как Trojan-Ransom.BAT.Agent.u
Шифруемые файлы (на всех логических дисках, список расширений находится в файле shpka.msk)
.jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.t if.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb .xml.XML.xls.XLSxlsxXLSX.dwg.DWG.mdf.MDF.mdb.MDB.z ip.ZIP.rar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db .4dd.adp.ADP.xls.XLD.wdb.str.STR.pdm.PDM.ppt.crw.d xg.ptx.odb.odp.PEK.sps.SPS.pst.raf.pdd.mdf.srw.raw
После запуска в папке c:\tmp появляется все необходимое для шифрования
Для работы вирус использует консольную версию архиватора WinRar 5.0
В каждой папке создается файл с именем !!Фaйлы зaшифpoвaны.txt следующего содержания (пример)
К Вам обращается робот Gulfstream (компьютерная программа, умеющая поддерживать диалог с человеком).
Все файлы компьютера были заархивированны с паролем. При архивации происходит
шифрование данных алгоритмом AES. Взломать подобный алгоритм невозможно.
В программу, которой заархивированны файлы, робот успел вставить свой адрес эллектронной
почты, чтобы попробовать помочь расшифровать данные.
Робот Gulfstream не принимает деньги!
В качестве благодарности за расшифровку Gulfstream любит Биткоины.
Достать Биткоины просто, для этого надо иметь 10.000 рублей.
Для разархивации данных надо написать письмо на эллектронный адрес:
[email protected]
1. Приложить к письму один любой заархивированный файл небольшого размера;
2. Приложить файл, который Вы сейчас читаете (Файлы зашифрованны.TxT). Этот файл находится в каждой
директории, где имеются заархивированные файлы.
Таким образом, следует отправить два файла на вышеуказанную эллектронную почту.
В случае успешной расшифровки одного отправленного файла, робот вышлет его Вам обратно.
Высланный расшифрованный файл будет являться подтверждением того, что робот может расшифровать все файлы.
В ответном письме с разархивированным файлом робот отправит подробную инструкцию как
приобрести биткоины. После отправки Биткоинов - Gulfstream отправит Вам пароль и программу,
которая разархивирует все файлы на компьютере.
В конце данного письма содержатся непонятные для людей символы. Эти символы нужны для расшифровки,
не удаляйте их.
ВНИМАНИЕ! Робот хочет быть полезен людям. Робот запрограммирован таким образом,
что не имея биткоинов он все равно трудится и пытается разархивировать файлы. Но сначала Gulfstream
помогает тем представителям человеческой рассы, у которых есть биткоины. В течение 1-24 часов.
Тем у кого нет биткоинов робот все равно будет стараться помочь. По
расчетам Gulfstream, он сможет подобрать пароль, которым заархивированны файлы, от 6 до 12 месяцев.
Как только пароль будет подобран, Gulfstream отправит его всем известным ему
представителям земной рассы. Gulfstream надеется, что это может произойти и раньше..
Gulfstream - это робот. В переписке не следует допускать сенсуативного контента. Робот не знает,
что такое: чувства, угрозы, переговоры, сон, поцелуй, дыхание. Робот может только мечтать об
этом! Для Gulfstrema не существует способа матереализоваться. Робот просит
Вас относиться к переписке в узко утилитарном смысле, как к передаче
информации. На данный момент чувственный контент роботом плохо детермини-руется.
Я буду стараться помочь Вам, Ваш Gulfstream.
Ответ на Ваше письмо придет в течение 1-24 часов.
Если почта не отвечает больше 24ч, возможно, почтовый ящик робота сломался
Существует второй способ связи.
1) Зайдите на сайт www.bitmsg.me
2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
e-mail и пароль (пароль вводится два раза для подтверждения правильности
ввода).
3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
для подтверждение регистрации.
4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
нажмите кнопку Create random address. Все, вы можете отправить сообшение.
Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
укажите контактный адрес: BM-2cX2Lxu6NugPgyRKuG8AxTg2Z9pgGnKSyb
Укажите тему сообщения и пишите сообщение. В СООБЩЕНИИ ТОЛЬКО ВАШ email адрес
по которому с Вами можно связаться. Больше ничего не пишите. Нажимаете кнопку Send Message
(послать сообщение). Ответ придет в течение 1-24 часов уже на Ваш почтовый ящик.
dri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
А теперь о работе вируса. После запуска дроппера, извлечения компонентов стартуют:
– x.bat
PING -n 5 -w 1000 127.0.0.1 > nul
echo !> capcha, в результате работы которого создается файл capcha, который по сути служит сигналом к началу запуска процедуры архивирования.
– moar.exe
1) Запускается hello.bat, который, как видно из его содержимого
start "" hello.exeзапускает hello.exe. Вся роль этого файла сводится к выводу липового сообщения об ошибке Adobe Reader
Ошибка в файле или файл испорчен
2) Предпринимается попытка открыть файл iuoepdjjfi. Если его нет, он создается (служит для недопущения запуска второй копии программы).
3) Предпринимается попытка открыть файл capcha.
– Если его нет, переходим к п. 3.5
3.1 Запускается файл pgmttc.exe (он генерирует пароль архивирования. Под-робности его работы ниже)
1. C задержкой в 3 секунды получаются 8 координат курсора мыши на экране и сохраняются в строку.
2. Генерируется по определенному алгоритму пароль архивирования длиной 64 байта и записывается в файл drivers.000
3. Все используемые при генерации области памяти забиваются мусором.
3.2 Содержимое файла drivers.000 шифруется по алгоритму RSA с публичным ключем public mod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
public key=932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B 2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD 989A4EE1739A0465ECD709C392C20A70F14DA22A197999F034 7BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A 26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22 BAB68BCED (запуск файла rsa.bat) и записывается в файл rsa.000. Ори-гинальное содержимое файла drivers.000 хранится в памяти компьютера на протяжении всего процесса шифрования.
3.3 Файл drivers.000 дважды перезаписывается мусором (сначала 64, потом 1024 символа «0»), усекается до нулевой длины и удаляется
3.4 Запускается процесс шифрования:
3.4.1 По найденному пути записывается сообщение вымогателя, в конец которого записывается зашифрованный ключ (причем никакой проверки на наличие файла с сообщением не происходит, и он создается каждый раз заново)
3.4.2 Создается файл drivers.cmd, куда записывается полный путь к подле-жащему архивации файлу
3.4.3 Выделяется область памяти в 256 байт и заполняется нулями (используется как буфер обмена). После чего сюда записывается пароль архивирования (чрезвычайно хитрый способ передачи пароля в сам архивирующий компонент :))).
3.4.4 Запуск файла par.cmd, в котором в свою очередь идет вызов файла rurim.exe (именно он отвечает за процедуру архивирования)
1. Из буфера обмена в свою область памяти читается пароль архивирования, после чего буфер забивается мусором и освобождается.
2. Из файла drivers.cmd читается путь к файлу для архивирования
3. Генерируется и запускается на выполнение команда архивирования, которая ни-чем не отличается от предыдущей версии
rar.exe a -ep1 -dw -p<ключ> <имя.rAR> <имя>где
а – добавить в архив
-ep1 – исключить базовую папку из пути
-dw – стереть исходный файл
4. Забивается мусором область, где rurim.exe хранила пароль архивирования
3.4.5 Файл drivers.cmd удаляется
3.5 Выделяется область памяти в 65 байт для буфера обмена. После освобождения буфера затирается символами «0» пароль архивирования в памяти.
Оценка возможности разархивирования:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы moar.exe пароль;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;
- невозможна:
-- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
Компоненты «архиватора» Лабораторией Касперского детектируются, как
moar.exe – Trojan-Ransom.Win32.Agent.ics
rsa.bat – Trojan-Ransom.BAT.Agent.u