Cute Ransomware: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,133
Баллы
793
Лезть в дебри китайских крипто-вымогателей — дело неблагодарное, хоть и жил в Китае, и работал с партнерами по технике и маркетингу... И всё же пришлось...

Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао была известна специалистам с весны сего года. Ма Шенхао (кстати, его имя переводится с китайского как "Добрый знак") сделал несколько проектов вымогателей в исследовательских целях для SITCON 2016 (китайской Студенческой конференции по информационным технологиям). И только my-Little-Ransomware получился таким, что не детектировался ни одним из антивирусов. Это и нужно было разработчику. Ма Шенхао, приложив скриншот с VirusTotal к своей работе, даже не предполагал, что его "маленький вымогатель" станет оружием в руках киберпреступников и породит несколько реальных крипто-вымогателей.

В прошлом месяце сразу несколько исследователей сообщили о появлении криптовымогателей на основе переработанного my-Little-Ransomware. Все они используются для атак на китайских пользователей. Названия их неизвестны или вообще отсутствуют. Неделю назад фирма Netskope обнаружила аналогичный вредонос на основе my-Little-Ransomware, в коде которого была строка cuteRansomware, которая теперь послужит названием для всего семейства вымогателей.

Список целевых расширений в my-Little-Ransomware включал аж 158 расширений.
В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .png, .jpg, .zip, .txt, .pdf, .pptx, .docx, .py, .cpp, .pcap, .enc, .pem, .csr

Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted на китайском языке, а затем отправляет ключи в Google Docs, используя сервис как C&C-центр. Распространяется Cute с помощью попутных загрузок.

Почему Google Docs?
Всё не так просто. "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. Там есть немало подробной информацией, которая понравится программистам, даю ссылку, пусть читают и анализируют.

 
Сверху Снизу