Старый знакомый, создающий архивы .raR

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 1 авг 2014.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Хочу сразу предупредить, что по сравнению с предыдущей версией особых изменений нет, поэтому распишу просто назначение используемых компонентов вируса, которые по прежнему извлекаются в папку c:\tmp.

    Итак, что мы имеем в этот раз.

    Примеры тем
    http://virusinfo.info/showthread.php?t=164018
    http://virusinfo.info/showthread.php?t=164034
    http://virusinfo.info/showthread.php?t=164059

    Механизм распространения: остался прежним – вложение (дроппер) к электронному письму.

    Известные имена дроппера
    Шифруемые файлы (на всех логических дисках, список расширений находится в файле shapka)
    .jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.tif.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb.xml.XML.xls.XLS.dwg.DWG.mdf.MDF.mdb.MDB.zip.ZIP.rar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db.adp.ADP.wdb.pdm.PDM.ppt.crw.dxg.ptx.pst.raf.pdd.mdf.srw.raw.mcd

    Для работы вирус использует консольную версию архиватора WinRar 5.0

    Послание от авторов записывается в файлы с именем !Фaйлы зaшифpовaны.txT следующего содержания
    сли всe фaйлы зaшифpoвaны и файлы превратились в rAR архивы, то стоимость pacшифpовки 10.000 рyблей.
    Для того, чтобы расшифровать файлы пришлите на указанный ниже e-mail два файла.
    1) В каждой директории содержится файл !password , пришлите его
    2) Один любой зашифрованый файл небольшого размера (с расширением raR)
    Файлов !password может быть несколько в одной директории, тогда присылайте все
    Обратно Вам придет расшифрованный файл и инструкция по оплате. Расшифрованный файл является
    подтверждением того, что возможно расшифровать все данные.

    После оплаты Вам придет пароль на архивы и программа-расшифровщик, которая расшифрует все файлы.
    Файл !password содержит непонятные для Вас символы. Не удаляйте его. Без данных йероглифов расшифровка невозможна.
    Данные йерогливы - это зашифрованный текст в котором хранится Ваш пароль.

    e-mail для связи: ant@lelantos.org

    Ответ на Ваше письмо придет в течение 1-24 часов.

    Если Вам не приходит ответ больше 24 часов - отправьте свой e-mail для связи (без отправки файлов) на адрес
    ant@sigaint.org
    Вам придет письмо с инструкцией

    Теперь о компонентах.

    1. Запускает файл hel.exe.
    2. Если файл symbol.thy существует, завершает свою работу.
    3. Если файл symbol.thy не существует, то запускается файл !!.cmd.
    4. Спустя 5 секунд происходит чтение содержимого symbol.thy (о нем ниже).
    5. Оно склеивается со строками rr и .exe, после чего запускается файл с полученным таким хитрым способом именем

    Вся роль этого файла сводится к выводу липового сообщения об ошибке Winword

    Создает файл symbol.thy, в который записывает символ r, как признак уже запущенного шифровальщика.

    Запускает на выполнение файл c:\tmp\genr.cmd

    Поочередно запускает файлы genpwd, genhex, genrsa, moar. О работе каждого из них ниже по тексту.

    1. C задержкой в 2014 мс получает 16 значений координат курсора мыши.
    2. Записывает полученную инфоррмацию длиной 32 байта в файл thy

    1. Читает содержимое файла thy в память.
    2. Побайтно переводит каждый символ в его 16-тиричное представление.
    3. Сохраняет полученный результат (уже 64 байта) в тот же самый файл.

    1. Запускает процесс ssencrypt.exe public.key thy, который шифрует содержимое файла с паролем по алгоритму RSA публичным ключем из файла public.key.
    Зашифрованный пароль хранится в файле thy.ss

    (17910768364673292624001632093766971184119837896417476551621722375756212896353886605642567689374959979953915750386222420733301077090425377061153752575248253307859580940331503521521810991863609819870524084704752475460332380433158568013039126847439785477173695901094666468834302981425770833495400436917939316529180010970577698299883748002821650476982575530623933656088795032070102914171728737400031463660084568185641965322579763805189363490630183362454513920274048777721518199596975778117938904006251199037371944876548721674714422844147384764698332406459027474368796311471648395785164971583301918303790633525726012322727,65537)

    1. Происходит чтение в память содержимого thy, после чего файл перезаписывается мусором, усекается до нулевой длины и удаляется.
    2. С использованием счетчика времени работы системы генерируется новое имя файла для хранения зашифрованного пароля архивирования. Файл имеет вид !password + ХХХХХ (где ХХХХХ – символы, полученные на основании значения счетчика).
    3. Дополнительно выделяется область памяти в 1048576 байт (заполнена, конечно же, символами с кодом 0).
    4. Происходит поиск и архивирование файлов
    4.1 Происходит чтение из файла shapka попадающих под архивацию расширений файлов
    4.2 Генерируется и запускается на выполнение команда архивирования, которая слегка отличается от предыдущей версии (отсутствует ключ -dw)
    Код (Text):
    rar.exe a -ep1 -p<ключ> <имя.raR> <имя>
    где
    а – добавить в архив
    -ep1 – исключить базовую папку из пути
    4.3 Оригинальный файл забивается символами из выделенной области памяти, усекается до нулевого размера и удаляется.
    4.4 В папку с заархивированным файлом сохраняется сообщение вымогателя.
    4.5 Сюда же копируется содержимое файла thy.ss

    Оценка возможности разархивирования:
    - возможна:
    -- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы moar.exe пароль;
    -- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;

    - невозможна:
    -- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем;
    -- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
     
    Последнее редактирование модератором: 2 авг 2014
    SNS-amigo, Drongo, orderman и ещё 1-му нравится это.

Поделиться этой страницей