Cute Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 20 июл 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Лезть в дебри китайских крипто-вымогателей — дело неблагодарное, хоть и жил в Китае, и работал с партнерами по технике и маркетингу... И всё же пришлось...

    Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао была известна специалистам с весны сего года. Ма Шенхао (кстати, его имя переводится с китайского как "Добрый знак") сделал несколько проектов вымогателей в исследовательских целях для SITCON 2016 (китайской Студенческой конференции по информационным технологиям). И только my-Little-Ransomware получился таким, что не детектировался ни одним из антивирусов. Это и нужно было разработчику. Ма Шенхао, приложив скриншот с VirusTotal к своей работе, даже не предполагал, что его "маленький вымогатель" станет оружием в руках киберпреступников и породит несколько реальных крипто-вымогателей.

    В прошлом месяце сразу несколько исследователей сообщили о появлении криптовымогателей на основе переработанного my-Little-Ransomware. Все они используются для атак на китайских пользователей. Названия их неизвестны или вообще отсутствуют. Неделю назад фирма Netskope обнаружила аналогичный вредонос на основе my-Little-Ransomware, в коде которого была строка cuteRansomware, которая теперь послужит названием для всего семейства вымогателей.

    Список целевых расширений в my-Little-Ransomware включал аж 158 расширений.
    В Cute Ransomware же задан урезанный набор целевых расширений:
    .bmp, .png, .jpg, .zip, .txt, .pdf, .pptx, .docx, .py, .cpp, .pcap, .enc, .pem, .csr

    Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted на китайском языке, а затем отправляет ключи в Google Docs, используя сервис как C&C-центр. Распространяется Cute с помощью попутных загрузок.

    Почему Google Docs?
    Всё не так просто. "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. Там есть немало подробной информацией, которая понравится программистам, даю ссылку, пусть читают и анализируют.

     
    Охотник и Kиpилл нравится это.

Поделиться этой страницей