Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

tWqEwLYBZuas1lswoM5x8y0nZvuoBnPZJFi33Psv.png

Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:

Добрый день! Отправляю подробности заказа. Документ во вложении

Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75

або

Добрый день! Отправляю подробности заказа. Документ во вложении

Ковалёв Артем

Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75

або

Добрый день! Отправляю подробности заказа. Документ во вложении

Копылов Кирилл
Менеджер.

Публичное Акционерное Общество «БИНБАНК»

(495) 755-50-75, 8 800 200-50-75

Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.

Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.

Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.

Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.

В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,

а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:

Після завершення шифрування відкривається повідомлення російською та англійською мовами.

Ідентифікатори компрометації

Декодовані адреси:

hxxp://www.michiganmastereltiempo.com/wp-content/themes/bizworx/images/ssj.jpg
hxxp://vuonorganic.com/wp-content/themes/voice/images/admin/ssj.jpg
hxxp://thaibbqculver.com/Aold-web/PICTURES/ssj.jpg
hxxp://integramultimedia.com.mx/.well-known/acme-challenge/ssj.jpg
hxxp://motocheck.in/.well-known/pki-validation/ssj.jpg
hxxp://ereservices.com/.well-known/pki-validation/ssj.jpg

hххps://myelectrive.com/wp-content/themes/theme-files/mediacenter/framework/inc/post-formats/css/ssj.jpg
hххp://biengrandir37.com/wp-content/themes/accelerate/js/ssj.jpg
hххps://smartideabusiness.com/wp-content/themes/peflican/assets/css/default-skin/ssj.jpg
hххp://site-1.work/wordpress-4.9.8-ja-jetpack_webfont-undernavicontrol/ssj.jpg
hххps://webknives.com/wp-content/themes/CherryFramework/js/ssj.jpg
hххp://expeditionabroad.com/wp-content/themes/twentynineteen/fonts/ssj.jpg
hххps://product-reviews.website/.well-known/acme-challenge/ssj.jpg
hххp://fernandoherrera.me/wp-includes/ID3/ssj.jpg
hххp://nowpropitup.com/css/ssj.jpg
hххp://ghaniyu.com/wp-content/themes/landingpress-wp/assets/css/ssj.jpg

 

md5:

info.zip:

md5 c1c13d1faa5dc4a36371bd6d6ef7a42f

md5 6c26f61653d52b0e6016b6ff8275895f

md5 c8cab74a999935018afab2e1bd7bcaff

md5 2bc39d31ee236191354dab0aa2ffa26c

md5 cb158dd084b605a4c04ce025f4444e81

md5 4c4f00c2053a42accbb451ab2cf387d9

md5 c3f4fe77a1f97f5ee95d7951354f7c5f

md5 76da1510726a0ab3a3d59f6ed2a197e2

md5 245bb10c67c4acddac47069c1a8d82e4

md5 2ae07c114ae60f7b5d5fa4edbdad6534

md5 09bbf3bf13c07000dc58ea7f59eb0b6d

 

ssj.jpg

md5 3a29dd9147865b2c35f92a2aef0aba8d

https://www.virustotal.com/#/file/35809b55e77a750ff6d07100d5de321e513e3f33feb200d3b4323aab235f7fdd/detection

md5 e3c2deef166948804102a76ee6d7e9f4

https://www.virustotal.com/#/file/d5c0d8ca4705ca31a8742292b0274182e89eabae1f476b14ace611c90fe2400f/detection

md5 eee6b8fff025cafad98579657b7bccd0

https://www.virustotal.com/#/file/14e44c02a55de7ba6bce25648ae343104f90213f2f2d2c382e9c738de151cd50/detection

md5 a71294ac29535734df8d7ea8e30bef3b

https://www.virustotal.com/#/file/29c3039267fdb2758c8325b26069d94b3edd79c1c4c828bda0450b965422f552/detection

 

Информация.js:

md5 8e85ec89ac04247886846d1e45bcd60c

md5 e7494957d0143191f007d77a32db8246

md5 e47421c08e1e0fd37b10c65c4075e29a

md5 30654e6eea29285a2d4585b71a237b4c

md5 8689b84c115f4e23fe55b18fa07e95c2

md5 febd892c1c620b5efcd27ad27315f10d

md5 b678bb8267c906ccd942572b87a8d057

 

Контрольні сервери (C2):

193.23.244.244

76.73.17.194

86.59.21.38

208.83.223.34

 

Файлова система:

\\.\PIPE\wkssvc

\\.\PIPE\srvsvc

%ProgramData%\Windows\csrss.exe (копія ssj.jpg)

%Temp%\6893Ф5В897\state.tmp

%Temp%\6893Ф5В897\

 

Постійність в системі:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\csrss.exe

Реєстр:

HKLM\SOFTWARE\System32\Configuration\xi значення {ідентифікатор користувача}

HKLM\SOFTWARE\System32\Configuration\xVersion значення 4.0.01

 

Рекомендації:

Рекомендації щодо попередження загрози:

  • необхідно робити просту перевірку перед відкриттям вкладень у повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше));

  • вимкнути шифрування, якщо воно дозволено;

  • використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;

  • регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом;

  • обережно використовувати спільні папки, встановлювати права доступу з метою обмеження запису в них та періодично перевіряти їх антивірусною програмою;

  • обмежити можливість запуску виконуваних файлів (*.exe, *jar, *.js) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;

  • періодично сканувати змінні диски (USB), які підключаються до важливих систем, а по можливості заборонити використання сторонніх носіїв:

  • заблокувати доступ до доменів, вказаних у пункті декодованих адрес, та до адрес контрольних серверів.

Повідомити про інцидент