Старый знакомый, создающий архивы .raR

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,381
Реакции
2,446
Баллы
593
Хочу сразу предупредить, что по сравнению с предыдущей версией особых изменений нет, поэтому распишу просто назначение используемых компонентов вируса, которые по прежнему извлекаются в папку c:\tmp.

Итак, что мы имеем в этот раз.

Примеры тем
http://virusinfo.info/showthread.php?t=164018
http://virusinfo.info/showthread.php?t=164034
http://virusinfo.info/showthread.php?t=164059

Механизм распространения: остался прежним – вложение (дроппер) к электронному письму.

Известные имена дроппера
Исковое заявление поданное в суд.cmd – просто переименованный самораспаковывающийся архив, который Лаборатория Касперского детектирует, как Trojan-Ransom.Win32.Agent.icz (Trojan.Encoder.556 по DrWeb)
Шифруемые файлы (на всех логических дисках, список расширений находится в файле shapka)
.jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.tif.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb.xml.XML.xls.XLS.dwg.DWG.mdf.MDF.mdb.MDB.zip.ZIP.rar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db.adp.ADP.wdb.pdm.PDM.ppt.crw.dxg.ptx.pst.raf.pdd.mdf.srw.raw.mcd

Для работы вирус использует консольную версию архиватора WinRar 5.0

Послание от авторов записывается в файлы с именем !Фaйлы зaшифpовaны.txT следующего содержания
сли всe фaйлы зaшифpoвaны и файлы превратились в rAR архивы, то стоимость pacшифpовки 10.000 рyблей.
Для того, чтобы расшифровать файлы пришлите на указанный ниже e-mail два файла.
1) В каждой директории содержится файл !password , пришлите его
2) Один любой зашифрованый файл небольшого размера (с расширением raR)
Файлов !password может быть несколько в одной директории, тогда присылайте все
Обратно Вам придет расшифрованный файл и инструкция по оплате. Расшифрованный файл является
подтверждением того, что возможно расшифровать все данные.

После оплаты Вам придет пароль на архивы и программа-расшифровщик, которая расшифрует все файлы.
Файл !password содержит непонятные для Вас символы. Не удаляйте его. Без данных йероглифов расшифровка невозможна.
Данные йерогливы - это зашифрованный текст в котором хранится Ваш пароль.

e-mail для связи: ant@lelantos.org

Ответ на Ваше письмо придет в течение 1-24 часов.

Если Вам не приходит ответ больше 24 часов - отправьте свой e-mail для связи (без отправки файлов) на адрес
ant@sigaint.org
Вам придет письмо с инструкцией

Теперь о компонентах.

1. Запускает файл hel.exe.
2. Если файл symbol.thy существует, завершает свою работу.
3. Если файл symbol.thy не существует, то запускается файл !!.cmd.
4. Спустя 5 секунд происходит чтение содержимого symbol.thy (о нем ниже).
5. Оно склеивается со строками rr и .exe, после чего запускается файл с полученным таким хитрым способом именем

Вся роль этого файла сводится к выводу липового сообщения об ошибке Winword
Ошибка в файле или файл испорчен

Создает файл symbol.thy, в который записывает символ r, как признак уже запущенного шифровальщика.

Запускает на выполнение файл c:\tmp\genr.cmd

Поочередно запускает файлы genpwd, genhex, genrsa, moar. О работе каждого из них ниже по тексту.

1. C задержкой в 2014 мс получает 16 значений координат курсора мыши.
2. Записывает полученную инфоррмацию длиной 32 байта в файл thy

1. Читает содержимое файла thy в память.
2. Побайтно переводит каждый символ в его 16-тиричное представление.
3. Сохраняет полученный результат (уже 64 байта) в тот же самый файл.

1. Запускает процесс ssencrypt.exe public.key thy, который шифрует содержимое файла с паролем по алгоритму RSA публичным ключем из файла public.key.
Зашифрованный пароль хранится в файле thy.ss

(17910768364673292624001632093766971184119837896417476551621722375756212896353886605642567689374959979953915750386222420733301077090425377061153752575248253307859580940331503521521810991863609819870524084704752475460332380433158568013039126847439785477173695901094666468834302981425770833495400436917939316529180010970577698299883748002821650476982575530623933656088795032070102914171728737400031463660084568185641965322579763805189363490630183362454513920274048777721518199596975778117938904006251199037371944876548721674714422844147384764698332406459027474368796311471648395785164971583301918303790633525726012322727,65537)

1. Происходит чтение в память содержимого thy, после чего файл перезаписывается мусором, усекается до нулевой длины и удаляется.
2. С использованием счетчика времени работы системы генерируется новое имя файла для хранения зашифрованного пароля архивирования. Файл имеет вид !password + ХХХХХ (где ХХХХХ – символы, полученные на основании значения счетчика).
3. Дополнительно выделяется область памяти в 1048576 байт (заполнена, конечно же, символами с кодом 0).
4. Происходит поиск и архивирование файлов
4.1 Происходит чтение из файла shapka попадающих под архивацию расширений файлов
4.2 Генерируется и запускается на выполнение команда архивирования, которая слегка отличается от предыдущей версии (отсутствует ключ -dw)
Код:
rar.exe a -ep1 -p<ключ> <имя.raR> <имя>
где
а – добавить в архив
-ep1 – исключить базовую папку из пути
4.3 Оригинальный файл забивается символами из выделенной области памяти, усекается до нулевого размера и удаляется.
4.4 В папку с заархивированным файлом сохраняется сообщение вымогателя.
4.5 Сюда же копируется содержимое файла thy.ss

Оценка возможности разархивирования:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы moar.exe пароль;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;

- невозможна:
-- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
 
Последнее редактирование модератором:
Сверху Снизу