Adres siedzibyAdres siedziby ul. Zabrska 49, 44-177 Paniówki, tel.: +48 (32) 338 92 28 | Dział handlowy: 510 019 048
biuro@itd24.pl
Szeroki
wybór produktów
Profesjonalna
obsługa klienta
Wysoka jakość
obsługi

Od kilku miesięcy Quick Heal Security Labs obserwuje wzrost ilości oprogramowania ransomware, które jest zbudowane w środowisku .NET. Odkryto, że ransomware, takie jak SamSam, Lime, a teraz Shrug, zostały zbudowane w środowisku .NET. Twórcy szkodliwego oprogramowania z łatwością je budują i ukrywają w tym środowisku, zamiast tworzyć je w innych kompilatorach.

Quick Heal Security Labs znalazł nowe oprogramowanie ransomware o nazwie Shrug2. Żąda ono okupu w wysokości 70 dolarów w postaci Bitcoina do odszyfrowywania plików.

Wektor infekcji jest nadal nieznany, ale ten plik może dotrzeć do komputera ofiary za pośrednictwem wiadomości phishingowych, ataków brute force RDP, malvertisingu, jako dołączony do innych plików itp.

Analiza techniczna

Przed uruchomieniem szyfrowania, ransomware sprawdza aktywne połączenie internetowe w nieskończonej pętli, próbując połączyć się z następującym adresem URL:

“hxxp://clients3[.]google[.]com/generate_204”

Jeśli w systemie ofiary zostanie znalezione aktywne połączenie internetowe, sprawdza ono, czy system był wcześniej zainfekowany przez „SHRUG2”, sprawdzając poniższy wpis rejestru:

“HKCU\ShrugTwo”

Jeśli system nie jest zainfekowany, tworzy podklucz o nazwie „ShrugTwo” pod HKCU i dodaje do niej odpowiednie wartości, jak pokazano na screenie nr 3.

Identyfikator: Wygenerowany przy użyciu nazwy zalogowanego użytkownika dołączonej do losowo wygenerowanej liczby od 10000 do 99999.

Na przykład: Nazwa użytkownika/25413

Installdate: Data i godzina, kiedy oprogramowanie ransomware infekuje system ofiary. Ta data i godzina są wykorzystywane przez oprogramowanie ransomware do wyświetlania czasu pozostałego do odszyfrowania plików.

cryKey: Losowo wygenerowany klucz bitowy AES256 używany do szyfrowania plików.

cryIV: Losowo wygenerowany wektor inicjalizacji używany do szyfrowania plików.

 

Następnie złośliwe oprogramowanie wykonuje poniższe polecenie, aby nadać wszystkie uprawnienia do katalogu i podkatalogów obecnych w %CD%. Ta komenda była również używana przez oprogramowanie WannaCry.

Podobnie jak wszystkie ransomware, usuwa także punkty przywracania w systemie ofiary. W tym celu nie korzysta z trywialnego usuwania punktu przywracania oprogramowania ransomware, takiego jak

vssadmin delete cienie / all / quiet & wmic shadowcopy delete

Raczej używa bardzo nietypowej techniki wykorzystującej srclient .SRRemoveRestorePoint jak pokazano niżej:

To oprogramowanie ransomware szyfruje pliki z około 76 różnymi rozszerzeniami. Lista rozszerzeń wygląda następująco:

„Txt, .docx, .xls, .doc, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .jpeg, .csv, .mdb, .db, .sln, .html, .php , .asp, .aspx, .html, .xml, .json, .dat, .cpp, .cs, .c, .js, .java, .mp4, .ogg, .mp3, .wmv, .avi,. gif, .mpeg, .msi, .rar, .7zip, .z, .apk, .yml, .qml, .py3, .aif, .cda, .mpa, .wpl, .mid, .pkg, .deb, .arj, .rpm, .gz, .dbf, .yml, .tar, .pl, .rb, .ico, .tif, .asp, .xhtml, .rss, .jsp, .htm, .o, .zip , .midi, .tiff, .tiff, .midi, .zip, .tar.gz, .pyw, .bmp, .sql, .psd, .7z ”

 

Ransomware wylicza wszystkie pliki z powyższymi rozszerzeniami obecnymi tylko na dysku C:\\ i przechowuje je na liście o nazwie „FilesToHarm”. Ta lista jest później używana do szyfrowania plików.

Podobny rodzaj listy jest również tworzony z nazwą „HarmedFiles”, która zawiera ścieżki plików już zaszyfrowanych z rozszerzeniem „.SHRUG2”, gdy zażądana kwota okupu jest już zapłacona lub upłynął czas na odszyfrowanie plików. Ta lista służy do odszyfrowywania lub usuwania plików.

To Ransomware używa algorytmu AES256 w trybie CBC (Cipher Block Chaining) do szyfrowania wyliczonych plików. W tym trybie wymagany jest klucz wraz z wektorem inicjującym (IV).

Kod pokazany poniżej służy do utworzenia poniższej listy i losowego wybierania z niej 32 znaków, które są używane jako klucz AES 256-bitowy.

„ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789”

Podobnie, kod pokazany niżej służy do utworzenia poniższej listy i losowo wybiera z niej 16 znaków, które są używane jako AES 128bit IV.

„ZYXWVUTSRQPONMLKJIHGFEDCBAzyxwvutsrqponmlkjihgfedcba9876543210”

Wcześniej wygenerowany klucz i IV są używane do szyfrowania ścieżek plików obecnych w liście „FilesToHarm”. Ransomware dodaje rozszerzenie „.SHRUG2” do plików po szyfrowaniu.

Aby szyfrować pliki, ransomware wybiera dane w porcjach 128-bitowych. Taki fragment danych jest szyfrowany przy użyciu wcześniej wygenerowanego klucza i IV w trybie CBC.

Gdy wszystkie pliki znajdujące się na liście „FilesToHarm” są zaszyfrowane, ransomware wysyła wszystkie wygenerowane informacje, takie jak identyfikator, InstallDate, cryKey i cryIV na poniższy adres URL CnC, który jest obecny w pliku.

hxxp://tempacc11vl[.]000webhostapp[.]com/marthas_stuff/uphash[.]php

Następnie ransomware tworzy skrót na pulpicie o nazwie „@ShrugDecryptor@”. Nazwa tego skrótu podana jest w celu oszukania ofiary.

Po utworzeniu skrótu wyświetla poniżej notatkę o okupie, zawiera czas pozostały do ​​odszyfrowania plików oraz adres portfela Bitcoin.

Wraz z szyfrowaniem plików oprogramowanie ransomware może wykonywać inne czynności, takie jak odszyfrowywanie plików i usuwanie ich.

Pliki są odszyfrowywane po tym, jak kwota okupu w postaci Bitcoina zostanie wypłacona autorowi szkodliwego oprogramowania na adres portfela „1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx”.

Jeśli kwota okupu nie zostanie wpłacona w określonym czasie, wszystkie zaszyfrowane pliki zostaną usunięte.

Po pomyślnym usunięciu zaszyfrowanego pliku, ransomware usuwa również wszystkie swoje ślady. DeleteSubKey usuwa rejestr „HKCU\ShrugTwo”, a następnie tworzy proces do usunięcia samego siebie.

Wskaźniki kompromisu:

MD5: 04112aec47401c3d91a92cfdf9de02e6

Rejestr: HKCU\ShrugTwo

Adres portfela Bitcoin: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx

URL:

hxxp://clients3[.]google[.]com/generate_204

hxxp://tempacc11vl[.]000webhostapp[.]com/marthas_stuff/upoldhash[.]php

 

Quick Heal z powodzeniem wykrywa Shrug2 ransomware jako „Ransom.Shrug.ZZ1”.

Wskazówki dotyczące zapobiegania
  1. Regularnie wykonuj kopie zapasowe ważnych danych na dyskach zewnętrznych, takich jak dysk twardy, pamięć przenośna lub magazyn w chmurze.
  2. Zainstaluj program antywirusowy i aktualizuj go.
  3. Dbaj o aktualność systemu operacyjnego i oprogramowania.
  4. Nigdy nie klikaj linków ani nie pobieraj załączników z żadnych nieznanych lub niechcianych źródeł.
X