Обережно! Українські установи атакують шифрувальники файлів .VAULT та .XTBL

03/09/2015

Аналіз шифрувальника .VAULT

До нас звернулись користувачі українського сегменту мережі Інтернет зі скаргою на регулярні підозрілі електронні листи, що надходять на їхні адреси.

Ось один з таких листів:

1

Характерними особливостями таких листів є:

  1. наявність прикріплених файлів zip або rar формату до листа, які містять файл вставку з розширенням .scr;

  2. звертання по прізвищу, іноді — по імені та по-батькові;

  3. поінформованість відправника про банк, послугами якого користується отримувач листа.

Ми проаналізували ці листи, вони містили шкідливе програмне забезпечення, а саме шифрувальник файлів, який має назву vault і класифікується, як Ransomware. Цей вид шкідливих програм модифікує (шифрує) файли і вимагає викуп за їх відновлення (з англ. «ransom» – викуп).

В прикріпленні електронного листа містяться, нібито, два різних файли, проте вони мають однакову md5-суму:

[Isk_o_vziskanii_dolga.zip][cd2449e3e8f89a603513a776bd6e2831]
[Zayavlenie_MVD.zip][cd2449e3e8f89a603513a776bd6e2831]

Аналіз одного з цих файлів показав, що він являє собою архів, у якому знаходиться файл з розширенням .scr:

[Иск_о_взыскании_долга_заявление_в_МВД_по_факту_мошенничества.Заявление_в_суд_от_24.07.2015г..dосx_ .scr][c058c4d86beda125a20cabdaa655cf15].

При його запуску, користувачу показується, так звана, хибна наживка (lure/decoy) і у пам’ять ПК жертви завантажується шифрувальник .vault (Ransomware.vault).

Після завантаження він здійснює спробу зв’язатись з сервером контролю та управління шкідливого ПЗ:

h__p://attached-email.com/c1.php

Вірус шифрує частину файлів на диску С (переважно .doc та .xls), перейменовує їх в файли з розширенням .vault.

1

Для відновлення файлів треба отримати Ваш ключ від зловмисників. Для цього доведеться зробити наступні кроки (звичайно, позитивний результат не гарантується):

Крок 1: Завантажити Tor браузер з офіційного сайту: h__p://torproject.org

 Крок 2: Використовуючи Tor браузер, відвідати сайт: h__p://restoredz4xpmuqr.onion

 Крок 3: Знайти Ваш унікальный VAULT.KEY на ПК, який є Вашим особистим ключем для клієнт-панелі. Не видаліть його! Він, скоріш за все, знаходиться у папці TEMP. Ввести ключ.

 

Аналіз шифрувальника .XTBL

 

Нещодавно до нас звернулись з проханням проаналізувати підозрілі повідомлення, які масово приходять на електронні пошти українських користувачів.

Ось одне з таких повідомлень:

 3

А архіві даного подібного файлу був документ формату .doc

[8f0e062907724a3a65ca650eaf78cdd2][Здравствуйте.docx]

Після відкриття документу запускається на виконання підозрілий файл, який зберігається в директорії:

%APPDATA%\Local\Temp\Акт_сверки_за_01092015.exe:

[148cf57d4bd6d6df2a5edc88a609e949][Акт_сверки_за_01092015.exe]

Autorun: added

Selfcopy: C:\ProgramData\Windows\csrss.exe

Цей троян сімейства Ransomware – шифрувальник, а саме .XTBL

Шифрувальник .xtbl виглядає наступним чином, коли заразив ПК:

 3

Отримання ключа — не безкоштовна та не гарантовано успішна процедура і його отримання доведеться отримати від зловмисників після сплати їм коштів.

Ще раз наголошуємо на неприпустимості відкриття вкладень, отриманих засобами електронної пошти (без попереднього підтвердження факту надсилання електронного листа його відправником).

Системним адміністраторам і адміністраторам безпеки слід звернути увагу на фільтрацію вхідних/вихідних інформаційних потоків, зокрема, поштового і веб-трафіку.

Користувачам електронної пошти слід бути уважними при відкритті атачментів, навіть якщо вони надійшли від відомих адресатів.