Исследование

Недоделанный вымогатель для MacOS X

Троянец-шифровальщик на Mac OS X – явление до сих пор невиданное, но, как оказалось, вполне реальное. Одного такого зловреда мы нашли на просторах интернета, а точнее на небезызвестном сайте virustotal.com. Но не торопитесь прятать документы от этого вымогателя – мы провели детальный анализ Trojan-Ransom.OSX.FileCoder.a и его результаты нас слегка разочаровали.

Первое, что бросилось в глаза при изучении троянца – весьма характерное для семейства Trojan-Ransom сообщение с требованием денег за восстановление пользовательских файлов.

Именно оно подтолкнуло нас к дальнейшему изучению функциональности Trojan-Ransom.OSX.FileCoder.a – хотелось узнать, как именно троянец будет шифровать файлы и вымогать деньги. Тем более, что написан он с использованием Qt framework, и если у потенциальной жертвы не установлен этот инструментарий, то зловред не отработает. Необычное решение, учитывая, что Qt framework на пользовательских компьютерах встречается сравнительно редко.

Выяснилось, что после запуска Trojan-Ransom.OSX.FileCoder.a находит в домашней директории пользователя файл «.d163c127f802d4c2a2abae36a429277b» и расшифровывает его с использованием алгоритма AES. Секретный ключ шифрования хранится в коде троянца и не изменяется. Расшифрованный файл сохраняется под именем «.decrypted-.d163c127f802d4c2a2abae36a429277b». Далее Trojan-Ransom.OSX.FileCoder.a зашифровывает с тем же ключом файл «.8c8790f8d6377dd45b83b113809584a2» и сохраняет его под именем «.encrypted-.8c8790f8d6377dd45b83b113809584a2». Оба обрабатываемых файла, похоже, были добавлены автором зловреда для проверки его работы — их имена жестко прописаны в коде.

После завершения процесса шифрования троянец сообщает пользователю о том, что его документы якобы повреждены. Но поскольку Trojan-Ransom.OSX.FileCoder.a на данный момент шифрует лишь свои собственные файлы и даже не умеет получать список файлов в домашней директории пользователя, перечень подлежащих восстановлению документов пуст.

После нажатия на кнопку «Restore documents» открывается новое окно, в котором авторы троянца предлагают пользователю восстановить его файлы и сообщают, что они, фактически, единственные, кто может помочь. Жертве нужно лишь выбрать наиболее удобный способ оплаты и отправить запрашиваемую вымогателями сумму.

Тут нам стало окончательно ясно, что изучаемый Trojan-Ransom.OSX.FileCoder.a является относительно безобидной программой, которая могла бы превратиться во вполне дееспособный троянец-шифровальщик, вымогающий деньги у своих жертв, но почему-то не превратилась.

Можно предположить, что троянец должен был зашифровывать все документы, изображения и другие файлы из домашнего каталога пользователя ключом, полученным с C&C сервера (как это делают шифровальщики на Windows). А в качестве идентификатора для соотнесения ключа шифрования с компьютером жертвы планировалось использовать уникальный идентификатор оборудования IOPlatformUUID, который возвращает следующий вызов (также присутствующий в коде):
ioreg -rd1 -c IOPlatformExpertDevice | awk ‘/IOPlatformUUID/ { split($0, line, «»»); printf(«%sn», line[4]); }’

Присутствует в коде и адрес C&C сервера — http://dv1208.local/key.php. Домен .local свидетельствует о том, что в момент создания Trojan-Ransom.OSX.FileCoder.a сервер находился на локальной машине автора.

Судя по virustotal.com, этому экземпляру Trojan-Ransom.OSX.FileCoder.a уже два года, а его доделанная версия так и не была обнаружена – видимо, у автора что-то не сложилось. Надеемся, что уже и не сложится.

Недоделанный вымогатель для MacOS X

Ответить

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Cancel

  1. Александр

    Да, надо сильно постараться, чтобы подхватить такую заразу, введя пароль при запуске посторонней программы, да еше и установив Qt framework.
    Видимо автор вирья понял, что с таким набором ему ничего не светит и бросил свое поделие.

  2. орис

    Доброй ночи!
    Я как раз и подхватил эту заразу, которая изменила расширения файлов и время их создания на объёме — примерно 500 гБ. Практически большая часть рабочей документации, которую собирал много лет — пришла в негодность((( Вам, как высококлассному специалисту верно смешны эти потуги хакеров-любителей, а мне вот плакать хочется, всё что собирал 10-ки лет и документация над которой я работаю в настоящий момент — перестала для меня существовать. Всё как Вы описываете, включая требования денег. Подскажите пожалуйста, как мне восстановить файлы.
    С Уважением, Борис

  3. Александр

    Борис, неужели у такой важной коллекции файлов не было резервной копии?

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике