• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

RAA Ransomware: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#1
Весь покрытый JS-ом, абсолютно весь, вымогатель RAA в Интернете есть...

Криптовымогатель RAA на 100% написан на языке JavaScript. Ранее мы уже видели вирус-шифровальщик Ransom32, который был создан с помощью NodeJS и запакован в исполняемый файл. RAA же, наоборот, не доставляется через исполняемый файл, а представляет собой стандартный JS-файл.

По умолчанию, стандартная реализация JavaScript не включает расширенные функции шифрования. Для обхода этой проблемы разработчики RAA использовали библиотеку CryptoJS, чтобы можно было использовать AES для шифрования файлов.

RAA в настоящее время распространяется по email в виде вложений, замаскированных под Doc-файлы, с именами файлов типа mJaEnhknxlS_doc_.js. При открытии JS-файла начинается шифрование файлов, а затем требуется выкуп в размере ~$250 США, чтобы получить файлы обратно. Попутно ставится вредонос Pony, ворующий пароли жертвы.

При установке RAA сканирует все доступные диски и определяет, есть ли права на чтение и запись. Если такие права есть, то RAA начнет поиск целевых типов файлов и использует код из библиотеки CryptoJS для их шифрования с помощью AES.
encryption-routine.jpg

К зашифрованным файлам добавляется расширение .locked. В результате файл с именем test.jpg будет зашифрован и переименован в test.jpg.locked.

Список файловых расширений, подвергающихся шифрованию:
.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .LCD, .zip, .rar, .csv

При шифровании файлов RAA пропускает файлы, чьи имена содержат расширение .locked, знаки ~ и $ или находятся в следующих папках:
Program Files, Program Files (x86), Windows, Recycle.Bin, Recycler, AppData,Temp, ProgramData, Microsoft
Теневые копии файлов удаляются вместе со службой, отвечающей за их работу. В данном вопросе пока не всё ясно, будем анализировать дальше.
vss-deletion.jpg

Поcле шифрования на рабочем столе создается записка с требованием выкупа !!! README !!! [ID].rtf, где [ID] — уникальный идентификатор, назначенный потерпевшему. Текст с требованием выкупа полностью на русском языке (см. ниже).
Ck0mD5LWUAAcYiR.jpg

 
Последнее редактирование модератором:

mike 1

Активный пользователь
Сообщения
2,364
Симпатии
903
#2
SNS-amigo, в описании этого локера вы не все перенесли сюда с вашего блога.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#3
mike 1, Задача дублирования и не стоит. Там блог - сбор и сортировка информации, проводимые не за один день.
Тут перевод статьи с Blepping-а (у них на сутки позже, кстати опубликовано было) и других сайтов антивирусных и ИБ-компаний.
В блоге есть информация по другим Ransomware, появившимся ранее или старым. Тут только новые, если есть подробная информация для перевода на русский язык.
Ссылка в первых строках поста: кто-то тут прочтет, кто-то там. Там, судя по получаемой статистике, гораздо больше гостей. Здесь гости не учитываются.

Блог можно считать внешним дополнением ID Ransomware и всего сайта SZ одновременно.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#4
Новая версия RAA:
- новая записка о выкупе;
- новый email вымогателей;
- новый Bitcoin-адрес для оплаты;
- сумма выкупа не указана;
- нужно высылать KEY-файл;
- README-файлы добавлены на рабочий стол;
- ключ реестра HKCU\RAA\Raa-fnl заменен на HKCU\Hff\Hff-fnl
- другие изменения;
- другие детекты.
 

mike 1

Активный пользователь
Сообщения
2,364
Симпатии
903
#5

Вложения