5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус-шифровальщик Bad Rabbit: новая угроза вашему ПК

Вирус-шифровальщик Bad Rabbit: новая угроза вашему ПК

Конец октября этого года был ознаменован появлением нового вируса, который активно атаковал компьютеры корпоративных и домашних пользователей. Новый вирус является шифровальщиком и называется Bad Rabbit, что в переводе означает плохой кролик. С помощью этого вируса были атакованы сайты нескольких российских средств массовой информации. Позже вирус был обнаружен и в информационных сетях украинских предприятий. Там были атакованы информационные сети метрополитена, различных министерств, международных аэропортов и прочее. Немного позже аналогичная вирусная атака наблюдалась в Германии и Турции, хотя ее активность была существенно ниже, нежели на Украине и в России.

Вредоносный вирус представляет собой специальный плагин, который после попадания на компьютер, производит шифрование его файлов. После того, как информация была зашифрована, злоумышленники пытаются получить вознаграждение от пользователей за расшифровку их данных.

Распространение вируса

Специалисты лаборатории по разработке антивирусных программ ESET проанализировали алгоритм работы пути распространения вируса и пришли к выводам, что он является модифицированным вирусом, который не так давно распространялся, как вирус Petya.

Специалисты лаборатории ESET вычислили, что распространение вредоносных плагинов производилось с ресурса 1dnscontrol.com и IP-адреса IP5.61.37.209. С эти доменом и IP также связаны еще несколько ресурсов, среди которых secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Специалистами было расследовано, что владельцами этих сайтов зарегистрировано множество различных ресурсов, например, такие через которые, с помощью спам рассылки пытаются реализовать контрафактные медикаменты. Специалисты ESET не исключают, что именно с помощью этих ресурсов, используя спам рассылку и фишинг, и была осуществлена основная кибератака.

Читать еще:  Avast брандмауэр отключен как включить. Создание правил для пакетов

Схема шифрования

Как мы уже упоминали, вымогатель Bad Rabbit шифрует файлы и жесткий диск жертвы. Для файлов используются следующие алгоритмы:

  1. AES-128-CBC
  2. RSA-2048

Это типичная схема, используемая зловредами-вымогателями.

Интересно, что вымогатель перечисляет все запущенные процессы и сравнивает хэш от имени каждого процесса с имеющимся у него списком хэшей. При этом используемый алгоритм хэширования похож на тот, что использовался зловредом exPetr.

Сравнение процедур хэширования Bad Rabbit и ExPetr

Особая ветвь исполнения программы

Процедура инициализации флагов времени исполнения

Полный список хэшей от имен процессов:

ХэшИмя процесса
0x4A241C3Edwwatcher.exe
0x923CA517McTray.exe
0x966D0415dwarkdaemon.exe
0xAA331620dwservice.exe
0xC8F10976mfevtps.exe
0xE2517A14dwengine.exe
0xE5A05A00mcshield.exe

Разделы на жестком диске жертвы шифруются с помощью драйвера dcrypt.sys программы DiskCryptor (он загружается в C:Windowscscc.dat). Шифровальщик посылает этому драйверу необходимые IOCTL коды. Отдельные функции берутся «как есть» из исходников DiskCryptor (drv_ioctl.c), другие, как кажется, были добавлены разработчиками зловреда.

Разделы диска шифруются драйвером DiskCryptor с использованием AES в режиме XTS. Пароль генерируется dispci.exe с использованием функции WinAPI CryptGenRandom и имеет длину 32 символа.

Оценка возможности дешифрования

Наши данные свидетельствуют, что Bad rabbit, в отличие от ExPetr, не создавался как вайпер (о том, что создатели ExPetr технически не способны расшифровать MFT, зашифрованную с помощью GoldenEye, мы писали ранее). Алгоритм работы вредоносного ПО предполагает, что у злоумышленников, стоящих за Bad rabbit, есть необходимые средства для дешифровки.

Данные, которые отображаются на экране зараженной машины как «personal installation key#1», это зашифрованная RSA-2048 и закодированная base64 двоичная структура, которая содержит следующую информацию из зараженной системы:

Злоумышленники могут использовать свой секретный ключ RSA для расшифровки этой структуры и отправить пароль для расшифровки диска жертве.

Читать еще:  Редактор фотографий на русском языке. Топ самых лучших фоторедакторов. Photo Grid: делаем объявления и видеорассказы

Обратите внимание, что значение поля id, которое передается dispci.exe — просто 32-битное число, используемое чтобы различать зараженные компьютеры, а вовсе не ключ AES для шифрования диска, как говорилось в некоторых отчетах, опубликованных в интернете.

В процессе анализа мы под отладкой извлекли пароль, создаваемый вредоносным ПО, и попытались использовать его на заблокированной системе после перезагрузки — пароль подошел, и загрузка продолжилась.

К сожалению, расшифровать данные на дисках без ключа RSA-2048 злоумышленников невозможно: симметричные ключи безопасно генерируются на стороне зловреда, что на практике исключает возможность их подбора.

Однако мы обнаружили ошибку в коде dispci.exe: сгенерированный пароль не удаляется из памяти, что дает небольшой шанс на его извлечение до завершения процесса dispci.exe. На скриншоте ниже можно заметить, что, хотя переменная dc_pass (которая будет передана драйверу) будет безопасно стерта после использования, это не относится к переменной rand_str, которая содержит копию пароля.

Псевдокод процедуры, которая генерирует пароль и шифрует разделы диска

Шифрование файлов

Как мы уже писали, троянец использует типичную схему шифрования файлов. Он генерирует случайную строку длиной 32 байта и использует ее в алгоритме деривации ключа. К сожалению, при создании этой строки используется функция CryptGenRandom.

Алгоритм деривации ключа

Зашифрованный пароль вместе с информацией о зараженной системе записывается в файл Readme как «personal installation key#2».

Интересный факт: зловред не шифрует файлы с атрибутом «Только для чтения».

Возможность восстановления файлов

Мы обнаружили, что Bad Rabbit не удаляет теневые копии файлов после их шифрования. Это означает, что если служба теневого копирования была включена до заражения и полное шифрование диска по какой-то причине не произошло, жертва может восстановить зашифрованные файлы, используя стандартные средства Windows или сторонние утилиты.

Читать еще:  Android не видит wifi сеть. Почему телефон не видит WiFi? Программа WiFi для телефона. Что делать, если телефон не подключается к WiFi. Почему телефон не подключается к wifi: устанавливаем правильный «диагноз»

Теневые копии, незатронутые Bad Rabbit

Рекомендации

Эксперты «Лаборатории Касперского» подробно анализируют шифровальщик, чтобы найти возможные недостатки в его криптографических алгоритмах.

Корпоративным клиентам «Лаборатории Касперского» рекомендуется:

  • проверить, что все механизмы включены согласно рекомендациям; отдельно проследить, чтобы не были выключены компоненты KSN и «Мониторинг системы» (они активны по умолчанию);
  • оперативно обновить антивирусные базы.

Этого должно быть достаточно. Но в качестве дополнительных мер предосторожности мы советуем:

  • запретить в Kaspersky Endpoint Security выполнение файлов C:Windowsinfpub.dat и C:Windowscscc.dat.
  • настроить и включить режим «Запрет по умолчанию» в компоненте «Контроль запуска программ» в Kaspersky Endpoint Security.

Продукты «Лаборатории Касперского» определяют эту угрозу как:

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector