К проблеме FTCODE

Судя по обилию жалоб на форумах Virusinfo и Kaspersky Lab Forum, корпоративный Рунет атакует особо результативный троян-блокер, распространяемый как вложение в целевом спаме. Он шифрует пользовательские файлы данных, используя функционал Windows PowerShell, и требует 10 тыс. рублей за дешифратор.

Троянец, детектируемый продуктами «Лаборатории Касперского» как Trojan-Ransom.HTA.BeCode (прежнее название — Trojan-Ransom.VBS.FeCode), приходит в адресных рассылках под именем «Благодарственное письмо.hta». Данный hta-файл содержит VBScript-скрипт и производит шифрование файлов, запуская на исполнение PowerShell-скрипт. При отсутствии инструментария PowerShell на зараженной машине блокировщик закачивает копию с сервиса Dropbox.com. Дело в том, что ПО PowerShell, предназначенное для системного администрирования, предустановлено лишь в Windows 7 и выше, но его можно установить и на более ранние версии операционной системы. Для шифрования выбираются те файлы, которые могут содержать важную для жертвы информацию. Эксперты компании Sophos, проанализировав сэмпл, насчитали 163 типа зашифрованных файлов, в том числе документы, электронные таблицы, фото и видео.

В каждой папке, содержащей шифрованные файлы, троянец создает файл READ_ME_NOW.txt с русскоязычной инструкцией по исправлению ситуации. В сообщении жертве предлагается пройти на специальный сайт и ввести указанный в инструкции персональный пароль, чтобы получить программу-дешифратор. Другой вариант: отправить письмо на указанный адрес, прикрепив READ_ME_NOW.txt. На сайте пользователю сообщают, что за восстановление файлов придется платить, а эффективность разблокировки можно проверить, загрузив один из шифрованных файлов размером до 1 МБ. По словам форумчан, подавших жалобу соответствующему хостеру, линки вымогателей уже дезактивированы и в последних «письмах счастья» вообще отсутствуют. Ссылка «оплата» тоже заблокирована и при попытке активации выдает ошибку.

Вирусные аналитики «Лаборатории Касперского» различают три версии данного вымогателя. Первая работала аналогично классическому блокеру GpCode: генерировала 50-значный ключ для симметричного шифрования AES 256, шифровала его асимметричным RSA 1024 и сохраняла в текстовом файле. Этот пароль затем использовался для шифрования информационных файлов, при этом к имени каждого из них после блокировки добавлялось расширение .ftcode. Высвободить такой файл из плена мог только злоумышленник, владеющий приватным ключом RSA.

Вторая версия блокировщика в качестве ключа использовала UID компьютера, получая его через WMI (Windows Management Instrumentation – инструментарий управления Windows). После шифрования файлы приобретали дополнительное расширение .bmcode. В третьей версии авторы вернулись к исходному алгоритму, добавив сохранение пароля в директории %AppData%. По завершении процесса шифрования на зараженной машине содержимое этого текстового файла перезаписывалось словом «good».

Для помощи пострадавшим «Лаборатория Касперского» обновила свою утилиту XoristDecryptor, но эта версия работает лишь в том случае, если ключ, сохраненный в системе, не успел перезаписаться. Посему Habrahabr советует: если вы случайно запустили данного зловреда или заметили, что файлы начали менять расширения, немедленно выключайте компьютер, чтобы остановить процесс шифрования и сохранить ключ.

В заключение – статистика «Лаборатории Касперского» по заражениям на начало текущего месяца:



Цифры невелики, так как данный троянец атакует лишь целевые организации.

Автор выражает благодарность ведущему вирусному аналитику ЛК Юрию Паршину, предоставившему материалы для данной заметки.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *