Активность вымогательского ПО (ransomware) в 2016 году находилась на рекордно высоком уровне, и об ее спаде в первом квартале 2017-го говорить не приходится. Эту статью мы решили посвятить самым популярным и злобным зловредам-вымогателям, особенно отличившимся в 2016 году. Мы разберем их устройство, поведение, обход песочниц и UAC, а также механизмы самозащиты.
 

Вымогатель CryptXXX

Вымогатель CryptXXX был обнаружен в апреле 2016 года и быстро стал одним из самых активных семейств рансомвари. Почти четверть успешных атак CryptXXX приходится на жителей США, также пострадали пользователи из Японии, Германии и России.

CryptXXX поставлялся через набор эксплоитов Angler Exploit Kit и распространялся посредством вируса-трояна Bedep. Вымогатель требует заплатить выкуп в 500 долларов США за восстановление зашифрованных файлов на компьютере и позволяет жертве расшифровать один файл бесплатно. Если жертва не платит выкуп, через несколько дней запрашиваемая сумма удваивается. По всей видимости, новый зловред создали те же хакеры, что стоят за вымогателем Reveton. Из-за сходства векторов заражения и кода считается, что они также связаны с авторами и распространителями эксплоит-кита Angler. 26 апреля «Лаборатория Касперского» выпустила под ОС Windows программу-дешифратор для этого типа вируса. Исполняемый файл программы можно скачать в центре поддержки.

Как и другие известные вымогатели, например Locky, CryptXXX уведомляет жертв о том, что их компьютер заражен, а файлы зашифрованы, создавая три файла-инструкции разных типов — de_crypt_readme.txt, de_crypt_readme.bmp, de_crypt_readme.html.

 

Использование бинарных кодов Microsoft

CryptXXX — это файл .dll (библиотека динамической компоновки), разновидность совместно используемой библиотеки. Другими словами, эта библиотека содержит файлы, к которым могут обращаться несколько программ одновременно. Ни в одной операции CryptXXX нет самостоятельных процессов.

Все запускаемые зловредом исполняемые файлы — хорошо известные и подписанные Windows процессы. Это самый простой способ избежать песочниц и продвинутых инструментов защиты от угроз. Его применение говорит о том, что разработчики вредоносного ПО снова адаптировались к окружающей среде.

Рис. 1. CryptXXX — обнаружение сигнатуры SandBlast Agent
Рис. 1. CryptXXX — обнаружение сигнатуры SandBlast Agent

CryptXXX dll использует процесс rundll32 — исполняемый файл Windows. Запуск в командной строке предельно прост — rundll32.exe. Вызов имени библиотеки DLL происходит без вызова расширения .dll, что само по себе подозрительно. При этом имя функции выглядит несоответствующим. В реальности код зловреда запускается одновременно с загрузкой библиотеки DLL.

Более того, бинарный код rundll32.exe, подписанный Windows, копируется в другие локации под именем svchost.exe, а затем запускается с помощью той же команды, что и rundll32.exe ранее.

Рис. 2. Запуск svchost
Рис. 2. Запуск svchost

Этот способ гениален в своей простоте: инструменты вроде диспетчера задач или приложения Process Explorer будут отображать название вредоносного процесса как svchost.exe — среди множества других процессов с таким же именем.

Рис. 3. Как CryptXXX выглядит в диспетчере задач
Рис. 3. Как CryptXXX выглядит в диспетчере задач

Если мы посмотрим на свойства процесса, он будет выглядеть как исполняемый файл, подписанный Microsoft, — вот только эта подпись предназначена совсем для другого файла. Использования известных сигнатур и известных учетных записей пользователей для симуляции известных процессов будет достаточно, чтобы обмануть автоматические инструменты.

Однако некоторые отличия могут вызвать подозрения:

  • Место запуска ПО не является местом запуска по умолчанию (в данном случае это папка «Загрузки», в других — папка %programdata%).
  • Параметры запущенного процесса соответствуют параметрам rundll32, что для svchost необычно.
  • Процесс не распознается как служба и запускается с разрешениями обычного пользователя.
 

Обход песочниц

Библиотеки динамической компоновки (.dlls) не запускаются сами по себе. Для их запуска необходим исполняемый файл. Большинство песочниц не умеют делать такую проверку и потому не смогут обнаружить новые образцы вируса CryptXXX.

Хотя и этого уже достаточно, CryptXXX еще и не спешит. Зловред умеет откладывать свой запуск на долгий срок — больше чем на час. Такое выжидание поможет обойти большинство традиционных песочниц, которые работают только в течение нескольких минут и не возобновляют проверку после задержек.

Сетевая активность, которая во многих случаях используется для обнаружения и блокировки ключевых обменов данными, здесь сведена до самого минимума, до двух запросов к удаленным серверам. Один из них адресован на совершенно неизвестный IP, который находится где-то в Германии.

Рис. 4. HTTPS-запрос на неизвестный IP
Рис. 4. HTTPS-запрос на неизвестный IP

Судя по сообщениям о дешифровке и методу внедрения, которые характерны для Angler Exploit Kit, CryptXXX очень похож на TeslaCrypt, однако по своей сути эти зловреды сильно отличаются.

Рис. 5. HTML-сообщение CryptXXX
Рис. 5. HTML-сообщение CryptXXX

Рис. 6. TeslaCrypt Ransom Note
Рис. 6. TeslaCrypt Ransom Note

Рис. 7. CryptXXX Ransom Note содержит тот же текст
Рис. 7. CryptXXX Ransom Note содержит тот же текст

Рис. 8. TeslaCrypt — обнаружение сигнатуры SandBlast Agent
Рис. 8. TeslaCrypt — обнаружение сигнатуры SandBlast Agent

Вымогатель Tesla получил распространение в 2015 году и перенял множество моделей поведения от своего успешного предшественника CryptoWall, включая оформление окон с требованием выкупа, которые также используются в CryptXXX. Следующие типы поведения помогли поставщикам продуктов безопасности разработать защиту против вируса:

  1. Хранение шаблонов кода и кодов шифрования в виде исполняемого файла.
  2. Удаление теневой копии файлов.
  3. Использование командной строки для самоудаления.
  4. Самокопирование с другим именем.

CryptXXX не содержит ни один из этих признаков:

  1. У него нет исполняемых файлов.
  2. Он не удаляет теневые копии файлов через Vssadmin или WMIC.
  3. Он не удаляет сам себя.
 

Постоянная эволюция

CryptXXX кажется похожим на TeslaCrypt, но этот зловред, очевидно, учел ошибки предшественника. Хотя шифрование файлов некоторыми его версиями удалось повернуть вспять, авторы вредоносного ПО не собираются сдаваться. Судя по различным образцам кода, вымогатель продолжает развиваться, и мы еще не раз встретимся с ним.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


2 комментария

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Жизнь без антивируса. Как побороть малварь голыми руками и обезопасить себя на будущее

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в…