Архив новостей

К проблеме FTCODE

Судя по обилию жалоб на форумах Virusinfo и Kaspersky Lab Forum, корпоративный Рунет атакует особо результативный троян-блокер, распространяемый как вложение в целевом спаме. Он шифрует пользовательские файлы данных, используя функционал Windows PowerShell, и требует 10 тыс. рублей за дешифратор.

Троянец, детектируемый продуктами «Лаборатории Касперского» как Trojan-Ransom.HTA.BeCode (прежнее название — Trojan-Ransom.VBS.FeCode), приходит в адресных рассылках под именем «Благодарственное письмо.hta». Данный hta-файл содержит VBScript-скрипт и производит шифрование файлов, запуская на исполнение PowerShell-скрипт. При отсутствии инструментария PowerShell на зараженной машине блокировщик закачивает копию с сервиса Dropbox.com. Дело в том, что ПО PowerShell, предназначенное для системного администрирования, предустановлено лишь в Windows 7 и выше, но его можно установить и на более ранние версии операционной системы. Для шифрования выбираются те файлы, которые могут содержать важную для жертвы информацию. Эксперты компании Sophos, проанализировав сэмпл, насчитали 163 типа зашифрованных файлов, в том числе документы, электронные таблицы, фото и видео.

В каждой папке, содержащей шифрованные файлы, троянец создает файл READ_ME_NOW.txt с русскоязычной инструкцией по исправлению ситуации. В сообщении жертве предлагается пройти на специальный сайт и ввести указанный в инструкции персональный пароль, чтобы получить программу-дешифратор. Другой вариант: отправить письмо на указанный адрес, прикрепив READ_ME_NOW.txt. На сайте пользователю сообщают, что за восстановление файлов придется платить, а эффективность разблокировки можно проверить, загрузив один из шифрованных файлов размером до 1 МБ. По словам форумчан, подавших жалобу соответствующему хостеру, линки вымогателей уже дезактивированы и в последних «письмах счастья» вообще отсутствуют. Ссылка «оплата» тоже заблокирована и при попытке активации выдает ошибку.

Вирусные аналитики «Лаборатории Касперского» различают три версии данного вымогателя. Первая работала аналогично классическому блокеру GpCode: генерировала 50-значный ключ для симметричного шифрования AES 256, шифровала его асимметричным RSA 1024 и сохраняла в текстовом файле. Этот пароль затем использовался для шифрования информационных файлов, при этом к имени каждого из них после блокировки добавлялось расширение .ftcode. Высвободить такой файл из плена мог только злоумышленник, владеющий приватным ключом RSA.

Вторая версия блокировщика в качестве ключа использовала UID компьютера, получая его через WMI (Windows Management Instrumentation – инструментарий управления Windows). После шифрования файлы приобретали дополнительное расширение .bmcode. В третьей версии авторы вернулись к исходному алгоритму, добавив сохранение пароля в директории %AppData%. По завершении процесса шифрования на зараженной машине содержимое этого текстового файла перезаписывалось словом «good».

Для помощи пострадавшим «Лаборатория Касперского» обновила свою утилиту XoristDecryptor, но эта версия работает лишь в том случае, если ключ, сохраненный в системе, не успел перезаписаться. Посему Habrahabr советует: если вы случайно запустили данного зловреда или заметили, что файлы начали менять расширения, немедленно выключайте компьютер, чтобы остановить процесс шифрования и сохранить ключ.

В заключение – статистика «Лаборатории Касперского» по заражениям на начало текущего месяца:



Цифры невелики, так как данный троянец атакует лишь целевые организации.

Автор выражает благодарность ведущему вирусному аналитику ЛК Юрию Паршину, предоставившему материалы для данной заметки.

К проблеме FTCODE

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике