RAA Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 14 июн 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Весь покрытый JS-ом, абсолютно весь, вымогатель RAA в Интернете есть...

    Криптовымогатель RAA на 100% написан на языке JavaScript. Ранее мы уже видели вирус-шифровальщик Ransom32, который был создан с помощью NodeJS и запакован в исполняемый файл. RAA же, наоборот, не доставляется через исполняемый файл, а представляет собой стандартный JS-файл.

    По умолчанию, стандартная реализация JavaScript не включает расширенные функции шифрования. Для обхода этой проблемы разработчики RAA использовали библиотеку CryptoJS, чтобы можно было использовать AES для шифрования файлов.

    RAA в настоящее время распространяется по email в виде вложений, замаскированных под Doc-файлы, с именами файлов типа mJaEnhknxlS_doc_.js. При открытии JS-файла начинается шифрование файлов, а затем требуется выкуп в размере ~$250 США, чтобы получить файлы обратно. Попутно ставится вредонос Pony, ворующий пароли жертвы.

    При установке RAA сканирует все доступные диски и определяет, есть ли права на чтение и запись. Если такие права есть, то RAA начнет поиск целевых типов файлов и использует код из библиотеки CryptoJS для их шифрования с помощью AES.
    encryption-routine.jpg

    К зашифрованным файлам добавляется расширение .locked. В результате файл с именем test.jpg будет зашифрован и переименован в test.jpg.locked.

    Список файловых расширений, подвергающихся шифрованию:
    .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .LCD, .zip, .rar, .csv

    При шифровании файлов RAA пропускает файлы, чьи имена содержат расширение .locked, знаки ~ и $ или находятся в следующих папках:
    Теневые копии файлов удаляются вместе со службой, отвечающей за их работу. В данном вопросе пока не всё ясно, будем анализировать дальше.
    vss-deletion.jpg

    Поcле шифрования на рабочем столе создается записка с требованием выкупа !!! README !!! [ID].rtf, где [ID] — уникальный идентификатор, назначенный потерпевшему. Текст с требованием выкупа полностью на русском языке (см. ниже).
    Ck0mD5LWUAAcYiR.jpg

     
    Последнее редактирование модератором: 27 окт 2016
    lilia-5-0, Theriollaria и Охотник нравится это.
  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.466
    Симпатии:
    861
    SNS-amigo, в описании этого локера вы не все перенесли сюда с вашего блога.
     
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    mike 1, Задача дублирования и не стоит. Там блог - сбор и сортировка информации, проводимые не за один день.
    Тут перевод статьи с Blepping-а (у них на сутки позже, кстати опубликовано было) и других сайтов антивирусных и ИБ-компаний.
    В блоге есть информация по другим Ransomware, появившимся ранее или старым. Тут только новые, если есть подробная информация для перевода на русский язык.
    Ссылка в первых строках поста: кто-то тут прочтет, кто-то там. Там, судя по получаемой статистике, гораздо больше гостей. Здесь гости не учитываются.

    Блог можно считать внешним дополнением ID Ransomware и всего сайта SZ одновременно.
     
    lilia-5-0, Theriollaria и Охотник нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Новая версия RAA:
    - новая записка о выкупе;
    - новый email вымогателей;
    - новый Bitcoin-адрес для оплаты;
    - сумма выкупа не указана;
    - нужно высылать KEY-файл;
    - README-файлы добавлены на рабочий стол;
    - ключ реестра HKCU\RAA\Raa-fnl заменен на HKCU\Hff\Hff-fnl
    - другие изменения;
    - другие детекты.
    [​IMG]
     
    Dragokas и Охотник нравится это.
  5. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.466
    Симпатии:
    861
    Шифровальщик .MATRIX (заявка № 205232)

    Похоже новая модификация появилась. Ставит расширение *.Matrix

    Файлы на диске:

    Записка от злоумышленников выглядит так:
     

    Вложения:

    Dragokas и akok нравится это.

Поделиться этой страницей