В прошлых статьях мы описывали несколько нашумевших в зарубежных СМИ шифровальщиков. Однако в русскоязычном сегменте Паутины сегодня правят бал не CryptoWall и не CTB-Locker — на нашей родине сформировалась «экосистема» из других видов троянов-вымогателей, в большинстве своем не выходящих на мировую арену. Сегодня мы познакомимся с некоторыми из них, а в качестве бонуса пробежимся по модным тенденциям мирового ransomware-строения.

 

Общие закономерности

  • Большинство отечественных троянов-вымогателей, в отличие от своих любящих публичность коллег (CryptoLocker, CryptoWall, TorrentLocker, TeslaCrypt), никак не афишируют свое название.
  • Авторы троянов часто используют «простые» средства разработки, готовые утилиты для шифрования, иногда даже обычные архиваторы, что дает повод задуматься о квалификации писателей малвари. Разумеется, из этого правила встречаются исключения.
 

Trojan-Ransom.Win32.Rakhni

Также получил имена Trojan.Encoder.398 и Win32/Filecoder.NDE, авторское название неизвестно. Этот троян появился в 2013 году (который можно считать годом ransomware: тогда мы наблюдали взрывной рост их числа). С тех пор Rakhni претерпел немало изменений, но не будем углубляться в историю, а разберем современный семпл, обнаруженный в сентябре 2015-го.

Обычно этот троян распространяется в неупакованном виде. Открываем файл в Hiew (рис. 1) и сразу видим характерные устрашающие фразы, адрес почты злоумышленника, а также список расширений, по которым будет производиться поиск файлов. Опытный взгляд определит, что файл написан в среде Delphi (та-ак, а кто тут говорил, что на Delphi больше не пишут? 🙂 — Прим. ред.), проверить это можно с помощью PEiD, Detect It Easy или любого другого удобного инструмента. По строкам в конце файла также легко обнаружить, что использована библиотека DCPCrypt2, — можно предположить, что реализация криптоалгоритмов взята именно оттуда (в дальнейшем это подтвердилось).

Рис. 1. Семпл Rakhni при просмотре в Hiew
Рис. 1. Семпл Rakhni при просмотре в Hiew

Для анализа написанных на Delphi семплов удобно воспользоваться Interactive Delphi Reconstructor — можно разбирать прямо в нем, а можно сгенерировать IDC-скрипт для последующего импорта в IDA. Большинство библиотечных функций IDR распознает верно, поэтому пропустим рутину статического анализа и перейдем к самому интересному — результатам.

 

Поиск файлов для шифрования

Троян проходит по подключенным дискам, ищет файлы по списку расширений, их пути сохраняет в зашифрованном виде в текстовый файл %TEMP%\allfiles.list. Пути шифруются алгоритмом Blowfish в режиме CFB-8, в качестве ключа используется хеш SHA-1 от содержащейся в теле строки lklaljga, а общее число найденных файлов сохраняется в глобальной переменной.

 

Коммуникация с командным сервером

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


1 комментарий

  1. devbutch

    24.11.2015 at 12:50

    Есть вопрос — подскажите что значит IV в тексте? (например: В качестве IV используется всегда одно и то же значение — 16 байт от 0 до 15.)
    Такое впечатление что малварь пишут недоучившиеся даже до 2-ого курса студенты, только со знанием Delphi)
    Кстати — все разновидности запрашивают пароль для шифрования с сервера (ну или почти все). Разве нельзя в качестве контр. мер сделать таким образом — либо в срочном порядке заросить закрытие домена, по причине того что он вредоносный. Либо же, если сотрудники антивирусных компаний получив экземпляр шифратора убедились в его злонамеренных действиях — моментально накатить апдейт на свои продукты, который будет запрещать доступ к серверам вредоноса. Тогда мы переведём шировальщика в режим работы с «дефолтными» (зашитыми в него) паролями, что облегчит расшифровку, после того как эксперты детально изучат алгоритмы программы.

Оставить мнение

Check Also

Мошенник обманул более 10 000 человек и заработал $24 000 на криптовалютах

Аналитики «Доктор Веб» расследовали деятельность киберпреступника, занимающегося мошенниче…