К проблеме FTCODE

Судя по обилию жалоб на форумах Virusinfo и Kaspersky Lab Forum, корпоративный Рунет атакует особо результативный троян-блокер, распространяемый как вложение в целевом спаме. Он шифрует пользовательские файлы данных, используя функционал Windows PowerShell, и требует 10 тыс. рублей за дешифратор.

Троянец, детектируемый продуктами «Лаборатории Касперского» как Trojan-Ransom.HTA.BeCode (прежнее название — Trojan-Ransom.VBS.FeCode), приходит в адресных рассылках под именем «Благодарственное письмо.hta». Данный hta-файл содержит VBScript-скрипт и производит шифрование файлов, запуская на исполнение PowerShell-скрипт. При отсутствии инструментария PowerShell на зараженной машине блокировщик закачивает копию с сервиса Dropbox.com. Дело в том, что ПО PowerShell, предназначенное для системного администрирования, предустановлено лишь в Windows 7 и выше, но его можно установить и на более ранние версии операционной системы. Для шифрования выбираются те файлы, которые могут содержать важную для жертвы информацию. Эксперты компании Sophos, проанализировав сэмпл, насчитали 163 типа зашифрованных файлов, в том числе документы, электронные таблицы, фото и видео.

В каждой папке, содержащей шифрованные файлы, троянец создает файл READ_ME_NOW.txt с русскоязычной инструкцией по исправлению ситуации. В сообщении жертве предлагается пройти на специальный сайт и ввести указанный в инструкции персональный пароль, чтобы получить программу-дешифратор. Другой вариант: отправить письмо на указанный адрес, прикрепив READ_ME_NOW.txt. На сайте пользователю сообщают, что за восстановление файлов придется платить, а эффективность разблокировки можно проверить, загрузив один из шифрованных файлов размером до 1 МБ. По словам форумчан, подавших жалобу соответствующему хостеру, линки вымогателей уже дезактивированы и в последних «письмах счастья» вообще отсутствуют. Ссылка «оплата» тоже заблокирована и при попытке активации выдает ошибку.

Вирусные аналитики «Лаборатории Касперского» различают три версии данного вымогателя. Первая работала аналогично классическому блокеру GpCode: генерировала 50-значный ключ для симметричного шифрования AES 256, шифровала его асимметричным RSA 1024 и сохраняла в текстовом файле. Этот пароль затем использовался для шифрования информационных файлов, при этом к имени каждого из них после блокировки добавлялось расширение .ftcode. Высвободить такой файл из плена мог только злоумышленник, владеющий приватным ключом RSA.

Вторая версия блокировщика в качестве ключа использовала UID компьютера, получая его через WMI (Windows Management Instrumentation – инструментарий управления Windows). После шифрования файлы приобретали дополнительное расширение .bmcode. В третьей версии авторы вернулись к исходному алгоритму, добавив сохранение пароля в директории %AppData%. По завершении процесса шифрования на зараженной машине содержимое этого текстового файла перезаписывалось словом «good».

Для помощи пострадавшим «Лаборатория Касперского» обновила свою утилиту XoristDecryptor, но эта версия работает лишь в том случае, если ключ, сохраненный в системе, не успел перезаписаться. Посему Habrahabr советует: если вы случайно запустили данного зловреда или заметили, что файлы начали менять расширения, немедленно выключайте компьютер, чтобы остановить процесс шифрования и сохранить ключ.

В заключение – статистика «Лаборатории Касперского» по заражениям на начало текущего месяца:

Цифры невелики, так как данный троянец атакует лишь целевые организации.

Автор выражает благодарность ведущему вирусному аналитику ЛК Юрию Паршину, предоставившему материалы для данной заметки.