После запуска дроппера, извлечения компонентов стартует
zap.exe. Он в свою очередь запускает zap.bat
Код:
@echo off
start "" "hello.exe"
IF EXIST wind.crp goto next
ECHO kisa>wind.crp
start "" "attrib.exe"
start "" "moar.exe"
:next
и должен был открывать некий файл
1.pdf (которого нет в архиве)
На экран выводится сообщение якобы об ошибке Adobe Reader
Ошибка в файле или файл испорчен
Это развод (инициатор - файл
hello.exe) или специально запрограммированная реакция на отсутствие
1.pdf
Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла
wind.crp. Если его нет, файл
kisa копируется в
wind.crp.
Запускается файл
attrib.exe (
он будет висеть в памяти как минимум до конца шифрования), который создает файл "!" и ждет, пока не появится на диске файл
c:\tmp\Systems.lug
После этого устанавливается атрибут NORMAL у файла
c:\tmp\kiskis, файл трижды перезатирается и усекается до нулевого размера, после чего удаляется.
Открывается файл
c:\tmp\kisa, в который дописывается
Ki10 и содержимое файла
rsa.000 (таким образом в конец каждого зашифрованного файла помещается зашифрованный ключ для дешифровки). Файл
c:\tmp\Systems.lug удаляется
Основную работу выполняет файл
moar.exe
1. Запускается файл
windrv.bat
Код:
PING -n 75 -w 1000 127.0.0.1 > nul
Так хитро похоже реализована задержка на 75 сек
2. Проверяется наличие файла с именем "!". Если его нет, программа завершает работу
3. Создается файл public.txt следующего содержания
public.txt
public mod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
public key=10B00146C80FAB6AC02F09FD6E5725CF009AEAF1EF4C4E0CAAC821B3B9970767D283045E268EF6536BEE4D1B8428605AF90F77D4FD1F18175637D4E6164A948A52E0B73D73B9069A39500B203CC05350C83CCFFE8E558340716089EAC2A7F0A5077E75D7D92B82FD00431954DDBA8C9DA9D90FEF9.8A0B59B8BE5C51C9DC76A75
Скрыть
4. Генерируется случайным образом 64-байтный ключ для шифрования и записывается в файл
pwin.aes
Внимание!!! Пока идет процесс шифрования этот ключ хранится и в памяти компьютера
5. Создается и запускается файл
a.bat
Код:
bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
При этом содержимое файла
pwin.aes шифруется по алгоритму RSA с использованием ключей из файла
public.txt и сохраняется в файл
rsa.000
6. Файлы
pwin.rsa (если он есть, скорее всего от какой-то из более ранних версий шифровальщика осталось),
pwin.aes,
public.txt,
a.bat,
bmrsa.exe затираются нулями, усекаются до нулевого размера (первые три файла - троекратно затираются и усекаются) и удаляются.
7. Выполняется поиск и шифрование подходящих по типу файлов.
При этом:
- в каждой папке с зашифрованными файлами создатся файл с сообщением вымогателя
- происходит запуск
Код:
aescrypt.exe -e -p ключ_в_памяти -o c:\tmp\kisa c:\tmp\kiskis
, где c:\tmp\kisa - новое имя зашифрованного файла (какую роль здесь играет c:\tmp\kiskis - пока непонятно)
- оригинальный файл копируется в c:\tmp\kiskis, после чего трижды перезатирается, затирается до нулевого размера
- для каждого шифруемого файла создается bat-файл вида
Код:
CHCP 1251
del имя_оригинального_файла
del имя_оригинального_файла.bat
, который запускается на выполнение. К слову, файл не выполняется, даже при ручном запуске
- запускается файл xxx.bat
Код:
@Echo off > Systems.lug
exit
- файл c:\tmp\kisa
переносится в файл
оригинальное_имя_файла._crypted
8. Файл
aescrypt.exe удаляется
9. Создается и запускается файл
nott.exe. Он создает на Рабочем столе в папке T сообщение вымогателя и открывает его в Блокноте
10. Создается файл
red.bat
Код:
PING -n 75 -w 1000 127.0.0.1 > nul
@echo off
echo Start %time%
echo kisa>moar.exe
del moar.exe
del red.bat
10. Область памяти, где хранился ключ, перезаписывается строкой
bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
11. Запускается файл
red.bat
Скрыть