Всем привет!!! В этой статье Я хочу Вам рассказать о самых новых мошеннических вымогателей
которыми насышен весь интернет.
На сегодняшний этот день эти "зловреды-вымогатели (Ransomware)" – один из самых наиболее активно развивающихся классов такого потенциального вредоносного ПО. За эти последние годы сами программы-вымогатели здесь эволюционировали и от самой простой блокировки экрана с самим требованием выкупа, о потом они перешли к более самым опасным действиям.
Теперь саму основу класса "Ransomware" это составляют так называемые шифровальщики. Это есть троянцы, которые без всякого ведома самого пользователя шифруют его данные, в том самом числе личные фотографии, всякие архивы, документы, и базы данных (например, базы которые часто используемого в России данного программного продукта "«1C:Предприятие»", которое предназначено для самой автоматизации деятельности на самом предприятии), это чертежи то есть словом, все, что самбой представляет большую ценность для самой жертвы. За такую расшифровку этих всех файлов сами злоумышленники здесь требуют заплатить – и иногда это очень немалые деньги. Наиболее такими нашумевшими примерами всяких подобных зловредов здесь являются "CryptoLocker, CryptoDefence" (и его преемник "CryptoWall"), "ACCDFISA, GpCode". Помимо них есть и большое множество всяких менее известных таких семейств, которые распространяющихся на самой территории России и стран СНГ. В конце июня 2014 года «Лабораторией Касперского» был обнаружен самый новый шифровальщик. Анализ которого показал, что сам троянец действительно здесь не относится ни к одному из самых известных ранее семейств и имеет здесь ряд черт, которые позволяют назвать его самой оригинальной разработкой. Авторское само название зловреда – CTB-Locker. Это самое новое семейство в классификации в самой «Лаборатории Касперского» получило здесь вердикт "Trojan-Ransom.Win32.Onion." Этот сам шифровальщик – представитель самого нового поколения таких троянцев-вымогателей. Создатели данного этого зловреда применили как известные здесь техники, "«обкатанные"» это его предшественниками (например, здесь требование выкупа в "Bitcoin"), так и абсолютно самые новые для этого данного класса вредоносного ПО само решения. В частности, это сокрытие самого командного сервера в самой анонимной сети Tor где затруднён сам поиск самих злоумышленников, а использованная здесь необычная криптографическая сама схема делает саму расшифровку таких файлов невозможной даже при самом перехвате трафика между самим троянцем и сервером. Все это делает здесь "Trojan-Ransom.Win32.Onion" самой опасной угрозой и одним здесь из самых высоко - технологичных шифровальщиков на сегодняшний этот день.
На сегодняшний этот день эти "зловреды-вымогатели (Ransomware)" – один из самых наиболее активно развивающихся классов такого потенциального вредоносного ПО. За эти последние годы сами программы-вымогатели здесь эволюционировали и от самой простой блокировки экрана с самим требованием выкупа, о потом они перешли к более самым опасным действиям.
Теперь саму основу класса "Ransomware" это составляют так называемые шифровальщики. Это есть троянцы, которые без всякого ведома самого пользователя шифруют его данные, в том самом числе личные фотографии, всякие архивы, документы, и базы данных (например, базы которые часто используемого в России данного программного продукта "«1C:Предприятие»", которое предназначено для самой автоматизации деятельности на самом предприятии), это чертежи то есть словом, все, что самбой представляет большую ценность для самой жертвы. За такую расшифровку этих всех файлов сами злоумышленники здесь требуют заплатить – и иногда это очень немалые деньги. Наиболее такими нашумевшими примерами всяких подобных зловредов здесь являются "CryptoLocker, CryptoDefence" (и его преемник "CryptoWall"), "ACCDFISA, GpCode". Помимо них есть и большое множество всяких менее известных таких семейств, которые распространяющихся на самой территории России и стран СНГ. В конце июня 2014 года «Лабораторией Касперского» был обнаружен самый новый шифровальщик. Анализ которого показал, что сам троянец действительно здесь не относится ни к одному из самых известных ранее семейств и имеет здесь ряд черт, которые позволяют назвать его самой оригинальной разработкой. Авторское само название зловреда – CTB-Locker. Это самое новое семейство в классификации в самой «Лаборатории Касперского» получило здесь вердикт "Trojan-Ransom.Win32.Onion." Этот сам шифровальщик – представитель самого нового поколения таких троянцев-вымогателей. Создатели данного этого зловреда применили как известные здесь техники, "«обкатанные"» это его предшественниками (например, здесь требование выкупа в "Bitcoin"), так и абсолютно самые новые для этого данного класса вредоносного ПО само решения. В частности, это сокрытие самого командного сервера в самой анонимной сети Tor где затруднён сам поиск самих злоумышленников, а использованная здесь необычная криптографическая сама схема делает саму расшифровку таких файлов невозможной даже при самом перехвате трафика между самим троянцем и сервером. Все это делает здесь "Trojan-Ransom.Win32.Onion" самой опасной угрозой и одним здесь из самых высоко - технологичных шифровальщиков на сегодняшний этот день.
Описание
Высоко-уровневая сама схема работы данного этого шифровальщика абсолютно здесь типична и состоит в следующем:
- после самого старта сам зловред копирует свое тело в "<CommonAppdata> (CSIDL_COMMON_APPDATA") и добавляет здесь запуск этого данного файла в сам «Планировщик задач» (Task Scheduler);
- потом производит сам поиск на всех несъемных, съемных и сетевых дисках всех файлов по самому списку расширений (рис. 1);
Рис. 1. Фрагмент данных, содержащий список расширений для шифрования
- потом шифрует найденные файлы;
- показывает потом пользователю здесь окно с требованием самого выкупа и списком здесь зашифрованных файлов. В качестве здесь самой оплаты сами злоумышленники требуют Bitcoin (рис. 2, 3);
- устанавливает в качестве самих обоев рабочего стола такую картинку с самим названием "AllFilesAreLocked.bmp" и с сообщением о том, что ваши данные на эирм компьютере зашифрованы (рис. 4).
Рис. 2. Окно, извещающее жертву о том, что файлы на компьютере зашифрованы
Рис. 3. Требования злоумышленников
Рис. 4. Картинка, устанавливаемая на рабочий стол
Что же здесь отличает этого троянца от самих десятков ему аналогичных?
Командный сам сервер расположен в анонимной сети "Tor"
В рассмотренном данном образце здесь содержится статический и (единственный) адрес командного сервера, он располагается в самой доменной зоне ."onion". Надо отметить, что само по себе это здесь не является самой "«инновацией»". Среди других таких типов данного вредоносного ПО подобные такие случаи уже встречались . Однако среди самих зловредов-вымогателей здесь это в новинку. Хотя некоторые и ранее обнаруженные семейства самих вымогателей и требовали, чтобы сама жертва сама посетила некий сайт в сети "Tor", однако здесь рассматриваемый нами сам зловред поддерживает здесь полноценное взаимодействие с самой сетью "Tor" без самого участия жертвы, что и отличает его здесь от остальных. Здесь мы уже логично подходим к его следующей особенности, которая здесь не имеет аналогов среди всех известных зловредов.
Необычная сама техническая организация самого доступа к сети "Tor"
Все ранее встречавшееся само вредоносное ПО, если и общалось с самой сетью "Tor", то делало это здесь незатейливо: запускало (пусть и иногда с помощью самого внедрения в другие процессы) , а легальный сам файл tor.exe, распространяющийся с самого официального веб-сайта сети. Trojan-Ransom.Win32.Onion не использует здесь готового файла tor.exe. Вместо всего этого весь сам код, который необходим для самой реализации общения здесь с анонимной сетью, где статически "слинкован" с самим исполняемым файлом зловреда (т.е. он совмещен с самим вредоносным кодом) и запускается в самом отдельном потоке (thread).
Рис. 5. Псевдокод, который показывающий реализацию запуска потока tor proxy
Код, содержащийся процедуры "thread_tor_proxy", практически весь целиком взят из самых открытых источников (Tor здесь является open-source проектом). Когда сама связь с "Tor" установлена и поднят сам локальный tor proxy то сервер по адресу 127.0.0.1 (это номер порта он различается на самих разных зараженных машинах и зависит от самого параметра MachineGuid), выставляется здесь глобальный флаг can_complete_circuit, который и проверяется в самом потоке "thread_post_unlock_data". Как только здесь это произошло то сам , зловред осуществляет саму сетевую коммуникацию именно с этим локальным адресом, как показано на рис. 6.
Рис. 6. Псевдокод, показывающий реализацию сетевого соединения с tor proxy
Запрос, который посылает сам зловредом на сервер, содержит здесь данные, которые необходимы для самой расшифровки файлов данной жертвы.
Рис. 7. Данные, отправляемые на командный сервер
В ответ сам сервер возвращает здесь данные о самой стоимости такой разблокировки в биткойнах или долларах США, а также сам адрес кошелька для самой оплаты.
Рис. 8. Данные, возвращаемые командным сервером
Источник " Лаборатория Касперского"
продолжение в следующей статье
Комментариев нет:
Отправить комментарий