Samas / Samsam: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 29 мар 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель Samas (SamSam): ФБР просит помощи

    ФБР США обратилось к экспертам в сфере информационной безопасности с просьбой оказать содействие в расследовании деятельности нового вымогательского ПО Ransom: MSIL/Samas.A, или SamSam, известного ФБР с февраля этого года. Как сообщает информагентство Reuters со ссылкой на конфиденциальное уведомление ведомства, главная особенность вредоноса заключается в возможности шифрования данных на всех компьютерах в сети.

    samasflowchart.png
    Рис.1. Схема последовательности атаки (реконструкция сделана SNS-amigo)

    Удалённые взломщики используют хакерский инструмент JexBoss для автоматического обнаружения уязвимых систем с устаревшими версиями JBOSS и последующего запуска атаки для удалённой установки вымогателей Samas на компьютеры жертв.

    ФБР в конфиденциальном уведомлении предоставило список технических индикаторов, чтобы помочь компаниям определить, стали они или нет жертвами такого нападения. Секретность уведомления определена масштабом и секторами атак: в основном наиболее пострадавшими от вымогателей являются сфера здравоохранения и правоохранительные органы.

    SamSam запускает на скомпрометированной машине процесс samsam.exe и приступает к шифрованию, используя комбинацию AES-256 (CBC) + RSA-2096. Скрывать его активность в системе вирусописатели не стали. SamSam не использует упаковщик и не способен обнаружить отладчик. Работает автономно, но прекращает шифрование, если версия Windows ниже Vista, из-за проблем с совместимостью.

    К зашифрованным файлам вредонос добавляет расширение .encryptedRSA. Например, файл Help.txt станет Help.txt.encryptedRSA

    Список целевых расширений вымогателя SamSam:
    .3dm .3ds .3fr .3g2 .3gp .3pr .7z .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .ads .agdl .ai .ait .al .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bkf .bkp .blend .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfp .cgm .cib .class .cls .cmt .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .csv .dac .db .db3 .dbf .db-journal .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flv .fmb .fpx .fxg .gray .grey .gry .h .hbk .hpp .htm .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .jar .java .jpe .jpeg .jpg .jsp .kbx .kc2 .kdbx .kdc .key .kpdx .lua .m .m4v .max .mdb .mdc .mdf .mef .mfw .mmw .moneywell .mos .mov .mp3 .mp4 .mpg .mrw .msg .myd .nd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b.p7c .pab .pages .pas .pat .pbl .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .php5 .phtml .pl .plc .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .py .qba .qbb .qbm .qbr .qbw .qbx .qby .r3d .raf .rar .rat .raw .rdb .rm .rtf .rw2 .rwl .rwz .s3db .sas7bdat .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .std .sti .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxi .sxm .sxw .tex .tga .thm .tib .tif .tlg .txt .vob .wallet .war .wav .wb2 .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

    Затем он создает файл вымогательскую записку HELP_DECRYPT_YOUR_FILES.html во всех папках, где есть зашифрованные файлы, а также на Рабочем столе. Этот HTML-файл содержит инструкции о том, как расшифровать файлы и заплатить выкуп стоимость в 1 биткоин:

    help_decrypt_your_files.PNG
    Рис.2. HTML-файл с пояснениями и требованиями вымогателя (реконструкция сделана SNS-amigo)

    Текстовая версия начинается словами:
    Перевод:
    Trojan:MSIL/Samas.A обычно принимает имя delfiletype.exe или sqlsrvtmg1.exe. Один из bat-файлов, детектируемый как Trojan:Bat/Samas.B удаляет теневые копии файлов жертвы при помощи инструмента Vssadmin.exe.
    По окончании шифрования компонент вредоноса del.exe производит автоматиескую зачистку следов присутствия вредоноса в системе.

    регионы атаки.png
    Рис.3. Географическое распространение MSIL/Samas.A


    Дополнение спустя неделю
    Вымогательское ПО SamSam (Samas) продолжает атаку на медицинские учреждения. В отличие от традиционных шифровальщиков, полагающихся на легкомыслие индивидуального пользователя, данный зловред раздается на Windows-системы посредством эксплуатации уязвимостей в непропатченных серверах JBoss. Затем устанавливает веб-шелл, идентифицирует другие подключенные к сети системы и внедряет вымогателя SamSam для осуществления шифрования файлов на устройствах сети.

    Спустя некоторое время после публикации новости, распространители Samsam подняли планку, теперь они требуют выкуп в 1,5-1,7 биткоина на зараженной системе, или 22 биткоинов за расшифровку файлов всех зараженных компьютеров сети. Malware-аналитики проконтролировали несколько кошельков Bitcoin, связанных с этими атаками, и заметили, что на них поступили выплаты в сотни тысяч долларов.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    SamSam: Что способствовало инфицированию JBoss-серверов

    О шифровальщике-вымогателе SamSam (Samas) ранее уже рассказывалось. Злоумышленники тогда внедрили бэкдор в системы, использующие устаревшие версии сервера приложений JBoss.

    В процессе мониторинга Сети исследователи безопасности подразделения Cisco Talos выявили порядка 3,2 млн публично доступных серверов, находящихся под угрозой риска инфицирования вымогательским ПО SamSam.

    Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. В ходе исследования выявлено 2100 скомпрометированных серверов, связанных с более 1500 IP-адресов, принадлежащих образовательным учреждениям, госструктурам, авиационным компаниям и прочим организациям. Злоумышленники внедрили на серверы бэкдор, позволяющий полностью контролировать систему. Потенциально данные системы могут находиться на стадии ожидания передачи вредоносного кода с C&C-сервера атакующих.

    На ряде инфицированных систем используется ПО Follett Destiny, применяемое для организации доступа учащимся и учителям к ресурсам школьных библиотек. Разработчик уже выявил и устранил уязвимость в программном обеспечении, но это обновление еще надо загрузить и установить.

    По словам исследователей, судя по всему, атаки совершаются несколькими группами злоумышленников, на что указывает внедрение различных бэкдоров: mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3l, Inovkermngrt и jbot.

    Среди признаков, свидетельствующих о получении преступниками контроля над системой, упоминается появление сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.


    Рекомендуемая санация
    Если вы обнаружили, что Webshell был установлен на сервере, нужно сделать несколько шагов. Наша первая рекомендация, если это вообще возможно, отключить внешний доступ к серверу. Это позволит предотвратить удаленный доступ к серверу. В идеале, еще можно было бы установить обновленные версии программного обеспечения. Это самый лучший способ гарантировать, что атакующие не смогут получить доступ к серверу. Если по каким-то причинам вы не в состоянии полностью восстановить работу сервера, то следующим лучшим вариантом было бы восстановиться из резервной копии, сделанной до инфицирования, а затем обновить сервер до новой версии, не имеющей обнаруженной уязвимости. Для пользователей Follett Destiny необходимо воспользоваться приходящими AutoUpdate-уведомлениями и убедиться, то они правильно установлены. Эти обновления, по мнению Follett, позволят удалить бэкдор-оболочки. Как всегда, рекомендуется иметь актуальное авторитетное антивирусное программное обеспечение.
     
    Охотник и lilia-5-0 нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    На сегодняшний день у Samas и его итераций на вооружений следующий набор расширений, добавляемых к зашифрованным файлам:
    .encryptedAES
    .encryptedRSA
    .encedRSA
    .justbtcwillhelpyou
    .btcbtcbtc
    .btc-help-you
    .only-we_can-help_you
    .iwanthelpuuu
     
    Охотник нравится это.

Поделиться этой страницей