Известный ИБ-эксперт и сотрудник компании Emsisoft Фабиан Восар (Fabian Wosar) давно планировал заняться взломом малвари в прямом эфире. Читатели и коллеги Восара убедили его, что стрим, демонстрирующий реверс вредоноса – это интересно, и удобный случай вскоре представился. 16 февраля 2017 года специалист GData Картен Хан (Karsten Hahn) обнаружил нового шифровальщика Hermes, и Восар решил, что изучение малвари в прямом эфире станет хорошей темой для первого стрима.

Как выяснилось в процессе реверса, Hermes был несложен, более того, Восар сумел найти способ взлома шифрования вымогателя. Хотя декриптер еще не готов, зрители смогли наблюдать не только процесс анализа малвари, но и ее взлом. Полную версию записи стрима можно увидеть ниже.

Оказалось, что для обхода UAC (User Account Control) Hermes использует Eleven (Elevation by environment variable expansion). Фактически это позволяет файлу Shade.vbs обойти UAC и запуститься с повышенными привилегиями. После данный VBS-файл запустит файл Shade.bat, который избавится от всех теневых копий и бэкапов жертвы. Для этого шифровальщик прицельно ищет файлы .VHD, .bac, .bak, .wbcat, .bkf, Backup*.*, backup*.*, .set, .win,  .dsk и удаляет их.

Проникнув на компьютер, Hermes копирует себя в C:\Users\Public\Reload.exe и выполняется. После этого запускается system_.bat, предназначенный для удаления оригинального загрузчика. Затем Hermes приступает к шифрованию пользовательской информации, используя алгоритм AES. Стоит отметить, что вредонос не изменят расширения файлов, как делают многие вымогатели, но добавляет маркер HERMES в конец каждого зашифрованного файла, как видно на скриншоте ниже.

Оставить мнение