Розповсюдження віруса-шифрувальника файлів Scarab

25/11/2017

      Команда реагування на комп’ютерні надзвичайні події України CERT-UA 22-23 листопада 2017 року спостерігала розсилку електронних повідомлень, які містили заархівовані архіви в середині яких були обфусковані vbs-скрипти. Дані скрипти мали на меті завантажити на комп’ютер користувача шкідливе програмне забезпечення , а саме вірус-шифрувальник файлів Scarab.

       Розсилка електронних повідомлень відбувалася за допомогою спам-ботмережі «Necurs», яка була причетна раніше також у розповсюдженні іншого шкідливого програмного забезпечення, а саме вірусів-шифрувальників файлів Locky та Globeimposter, а також банківського троянця Dridex.

Картинки по запросу necurs botnet scarab

 

 

Приведемо аналіз декількох файлів, які були надані нашій Команді для подальшого аналізу.
Більшість тем повідомлень була наступного вмісту: 


Scanned from HP<number>.eml
Scanned from Canon<number>.eml 
Scanned from Lexmark<number>.eml 
Scanned from Epson<number>.eml

 

Дані електронні листи в аттачменті містили архіви image2017-11-23-<number>.7z, в яких були обфусковані vbs-скрипти.

 

1015e3fa73054ca84b8d3c7efd4b7991 image2017-11-23-9546820.7z (hxxps://www.virustotal.com/#/file/99b1e17591eb463256bb682e9dd6c4f8eaa8a29bf7bfdae48c38c1ba229ab0e9/detection)
eaf0b8ba38d8dc1cca977714f315b6f9 image2017-11-23-943109.7z
(hxxps://www.virustotal.com/#/file/cae7d4fda96f11ce04cde669cfdfa818c9662b321368a98d7f7ce3e437e91589/detection)
5b05127196b7829f03bb74c74460165e image2017-11-23-690400.7z (hxxps://www.virustotal.com/#/file/5bb1a71cb4589806939644281ba3bda79809a1c5c5b75fb5230548cf7c30664f/detection)
0019cf3d46292c50e7fe1cd945ddbbbd image2017-11-23-217400.7z (hxxps://www.virustotal.com/#/file/c22311e6f2447acf4f3afcba609543b914fa0b32ea4fcfe3bfc90df546941865/detection)
8be67b037dc791d7b0cab284f757bf55 image2017-11-23-2560333.7z (hxxps://www.virustotal.com/#/file/6a1364347686aa836984c947eb0072b5b9bd1f92e305f06fea9438396178c41f/detection)
822bd72a755dd0a7022ca230eb596e66 image2017-11-23-2809877.7z (hxxps://www.virustotal.com/#/file/ae92420ba75ff11a6ef68438aa59777698724d11e524b689a50fa170f00148ab/detection)
403b602f3ba5c57fd7ddca0dd4e5fea1 image2017-11-23-333141.7z (hxxps://www.virustotal.com/#/file/cee102a8c6549b36631c1ffb39281d1ffce56c6a05491a1afbfd995684ec596d/detection)
5b05127196b7829f03bb74c74460165e image2017-11-23-878842.7z (hxxps://www.virustotal.com/#/file/5bb1a71cb4589806939644281ba3bda79809a1c5c5b75fb5230548cf7c30664f/detection)

 

Перелік обфускованих скриптів:

 

3f857f50947737b68f03a253654e3a13 image2017-11-22-8328527.vbs (hxxps://www.virustotal.com/#/file/9fedfae2d6d4abd64a98f349250507454b724981237a1a93b651e063d98ed593/detection)
0c96e5ff43745ff4bc071b9febb4e5a2 image2017-11-22-8137083.vbs (hxxps://www.virustotal.com/#/file/870185e0aa9c8f21ffe5ea148332e3590a7f197b9ca86093f8211ec6f323aeb7/detection)
b9b6c7311e166e7aaa2785e524f39adf image2017-11-22-7489731.vbs (hxxps://www.virustotal.com/#/file/478626acad6fe5209c5e3a9369a0ad69a54e115d0ee0bd0790ff5cd30dcceb11/detection)
578bf4a6c10ea3ee7712e66664141bea image2017-11-22-6133563.vbs (hxxps://www.virustotal.com/#/file/25ee9aaf6fd29574f3b897c85286a201b0ba4f946956bf0ea6ec0a9c29c6b248/detection)
ad042ef71f1f49a839286f2fd5558ef2 image2017-11-22-5799164.vbs (hxxps://www.virustotal.com/#/file/eea8c412b30298fb9de85c9256c6059316ac4b125cb79fedeb30ccacabafbb54/detection)
48e2ebbd513bef924167ad65657de3f0 image2017-11-22-4012810.vbs (hxxps://www.virustotal.com/#/file/739dfaba42b82796e2f18542b7b9c7817f7c679a55c72ee474af45fac0334037/detection) 
de7ef8d1176600a97a94223a786a0222 image2017-11-22-3359267.vbs (hxxps://www.virustotal.com/#/file/56cff80e04713c683084d9e89096e18dd9fee0faeb98ef388ec1a79360c50cca/detection)

 

 

Вірус-шифрувальних файлів Scarab завантажувався з наступних URL, які були у відкритому вигляді у вищезазначених скриптах:

 

— miamirecyclecenters.com/JHgd476?
— pamplonarecados.com/JHgd476?
— hard-grooves.com/JHgd476?
— hellonwheelsthemovie.com/JHgd476?
— atlantarecyclingcenters.com/JHgd476?
— xploramail.com/JHgd476?

 

hxxps://www.virustotal.com/#/file/41ca1baf59e457aa07b29f3f7033350d6c3aed3c397aa28128ed05a27e1eb6ac/detection
hxxps://www.virustotal.com/#/file/7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f/detection

 

Короткі відомості щодо функціоналу віруса-шифрувальника файлів Scarab:

 

1) Метод розповсюдження — електронна пошта.
2) Список файлових розширень, що піддаються шифрування:
документи MS Office, OpenOffice, PDF, текстові файли, бази даних, фотографії, музика, відео, файли образів, архіви.
3) Видаляє тіньові копії файлів, точки відновлення системи, відключає виправлення завантаження Windows та ін. 
% WINDIR% \ system32 \ cmd.exe / c wbadmin DELETE SYSTEMSTATEBACKUP
  wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
% WINDIR% \ system32 \ cmd.exe / c wmic SHADOWCOPY DELETE
  WMIC.exe wmic SHADOWCOPY DELETE
% WINDIR% \ system32 \ cmd.exe / c vssadmin Delete Shadows / All / Quiet
  vssadmin.exe vssadmin Delete Shadows / All / Quiet
% WINDIR% \ system32 \ cmd.exe / c bcdedit / set {default} recoveryenabled No
  bcdedit.exe bcdedit / set {default} recoveryenabled No
% WINDIR% \ system32 \ cmd.exe / c bcdedit / set {default} bootstatuspolicy ignoreallfailures
  bcdedit.exe bcdedit / set {default} bootstatuspolicy ignoreallfailures
4) Файли, пов’язані з цим Ransomware:
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
<number> .exe
5) Розташування копії:
%APPDATA%\ <random> .exe
6) Розташування txt-файлів про викуп:
\User\Desktop\
\User\Downloads\
\User\Documents\
\User\
\Users\Public\
\User\Desktop\
\Users\Public\Downloads\
\Users\Public\Documents\
7) Розширення інфікованих файлів:
«. [Suupport@protonmail.com] .scarab ».

 

Рекомандації CERT-UA:

  1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
  3. Перевірити журнальні файли на предмет наявності записів з зазначеними вище індикаторами.
  4. Не працювати під правами адміністратора.
  5. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  6. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.