• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Shade: Описание и вариации

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,427
Реакции
5,442
Один из наиболее часто встречающихся сегодня в России троянцев-шифровальщиков не только несет опасность сам по себе, но и загружает в систему жертвы ряд других зловредов.


Shade попадает на компьютер жертвы двумя способами: либо через спам-рассылки, либо с помощью эксплойтов. В первом случае жертва получает письмо с вредоносным вложением, попытка открыть которое приводит к заражению системы. Имя файла меняется с каждой новой волной рассылки.

Во втором случае вредоносный код появляется в системе после посещения жертвой скомпрометированного веб-сайта. Это может быть как сайт, специально созданный злоумышленниками, так и легальный, но взломанный ресурс. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в систему тайно устанавливается программа-вымогатель.

После попадания на компьютер жертвы Shade начинает шифровать файлы и добавлять к ним расширения .xtbl и .ytbl. Но на этом действие троянца не прекращается. Помимо своей прямой основной работы Shade скачивает и устанавливает в систему пользователя другие вредоносные программы нескольких различных семейств, например программу подбора паролей к веб-сайтам. Еще одно вредоносное ПО, загружаемое шифровальщиком, известно как Trojan-Downloader.Win32.Zemot – этот зловред в свою очередь может устанавливать на компьютер жертвы известный банковский троянец ZeuS.

shade.png

В случае обнаружения шифровальщика Shade (либо результатов его работы — файлов с расширениями .xtbl, .ytbl) настоятельно рекомендуется провести полную антивирусную проверку компьютера. В противном случае система с большой долей вероятности останется заражена вредоносными программами, закаченными троянцем.

«Киберпреступники часто атакуют компьютеры с помощью программ-шифровальщиков, пользуясь тем, что многие пользователи до сих пор даже не знают о такой угрозе. Программа проникает в систему незаметно для жертвы: в момент заражения визуально ничего не меняется, файлы же зашифровываются в фоновом режиме. Чтобы предотвратить потерю ценной информации, создавайте резервные копии, не храните данные только в одном месте. Если же вы все-таки стали жертвой троянца-шифровальщика, не стоит идти на поводу у мошенников и действовать по предлагаемой ими инструкции, а лучше сразу обращаться с заявлением в правоохранительные органы», — рекомендует Федор Синицын, антивирусный аналитик «Лаборатории Касперского».

Чтобы защитить компьютер от программ-шифровальщиков, следует соблюдать следующие правила безопасности:

  • не открывать почтовые вложения от неизвестных отправителей;
  • своевременно обновлять антивирусные базы, операционную систему и другие программы;
  • регулярно создавать резервные копии файлов и хранить их вне компьютера.
Источник
 
Shade попадает на компьютер жертвы двумя способами: либо через спам-рассылки, либо с помощью эксплойтов.
Мне кажется есть еще 3 способ проникновения. Через Adware он тоже вроде проникает на компьютер жертвы.
 
Шифровальщик Shade: двойная угроза
Семейство троянцев-вымогателей, шифрующих файлы и добавляющих к ним расширения «.xtbl» и «.ytbl», появилось в конце 2014 – начале 2015 года и довольно быстро заняло устойчивую позицию в тройке наиболее распространенных в России шифровальщиков (наравне с Trojan-Ransom.Win32.Cryakl и Trojan-Ransom.BAT.Scatter). По классификации «Лаборатории Касперского» эта угроза получила вердикт Trojan-Ransom.Win32.Shade. «Авторское» название данного шифровальщика неизвестно; другие антивирусные компании детектируют его под именами Trojan.Encoder.858, Ransom:Win32/Troldesh.

Эволюции троянца практически не наблюдается: меняются лишь формат имени зашифрованного файла, адреса C&C и набор ключей RSA.

Нам известны два основных способа доставки данного зловреда на компьютер жертвы – спам-рассылки и эксплойт-киты (в частности, Nuclear EK).

В первом случае жертва получает письмо, в которое вложен исполняемый вредоносный файл. Заражение системы происходит после попытки открыть вложение. При распространении Trojan-Ransom.Win32.Shade использовались следующие имена файлов:

  • doc_dlea podpisi.com
  • doc_dlea podpisi.rar
  • documenti_589965465_documenti.com
  • documenti_589965465_documenti.rar
  • documenti_589965465_doc.scr
  • doc_dlea podpisi.rar
  • не подтвержден 308853.scr
  • documenti dlea podpisi 05.08.2015.scr.exe
  • akt sverki za 17082015.scr
Отметим, что имя файла меняется при каждой волне рассылки, и возможные варианты не ограничиваются перечисленными выше.

Второй способ распространения (эксплойт-кит) более опасен, поскольку заражение происходит без участия пользователя, когда жертва посещает скомпрометированный веб-сайт. Это может быть как сайт злоумышленников, так и вполне легальный, но взломанный ресурс. Чаще всего пользователь не знает, что сайт представляет собой какую-то опасность. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в скрытном режиме в систему устанавливается целевой троянец. В этом случае, в отличие от спам-письма, от жертвы даже не требуется запускать исполняемый файл.

После того как Trojan-Ransom.Win32.Shade попал в систему, он соединяется с C&C, располагающимся в сети Tor, рапортует о заражении и запрашивает открытый ключ RSA-3072, который впоследствии использует при шифровании файлов (как именно, рассмотрим ниже). Если вдруг соединение не удалось установить, зловред выбирает один из 100 открытых ключей, содержащихся в его теле как раз для такого случая.

Затем троянец приступает к шифрованию файлов. При поиске объектов шифрования он пользуется статическим списком расширений, представленным на скриншоте.

crypto_shade_ru_1.png

Когда шифрование завершено, на рабочий стол устанавливается устрашающая картинка:

Требования выкупа зловред оставляет в файлах README1.txt, …, README10.txt. Их содержимое всегда имеет один и тот же вид:

crypto_shade_ru_3.png


Однако, в отличие от большинства других шифровальщиков, на этом Trojan-Ransom.Win32.Shade не останавливается. Он не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C список адресов вредоносного ПО, а затем скачивает и устанавливает это ПО в систему – такой функционал характерен для ботов-загрузчиков. Нами были выявлены факты скачивания представителей семейств:

  • Trojan.Win32.CMSBrute (о нём подробнее мы расскажем ниже).
  • Trojan.Win32.Muref
  • Trojan.Win32.Kovter
  • Trojan-Downloader.Win32.Zemot
Код цикла скачивания и ожидания:

crypto_shade_ru_4.png


В связи с этим очень важно провести полную антивирусную проверку компьютера в случае обнаружения шифровальщика Shade (либо результатов его работы – файлов с расширениями .xtbl, .ytbl). Если не провести лечение, высока вероятность того, что система останется заражена несколькими различными вредоносными программами, скачиваемыми данным шифровальщиком.

Общие черты троянцев семейства Shade


  • Написан на C++ с применением STL и собственных классов.
  • Статически слинкован с клиентом Tor.
  • Использует библиотеки boost (threads), curl, OpenSSL.
  • В каждый сэмпл зашит адрес одного сервера C&C, всего в разных образцах были найдены адреса 10 C&C серверов, 8 из которых активны в настоящее время. Все серверы расположены в сети Tor.
  • Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
  • Перед установкой своих обоев сохраняет старые обои в реестре.
  • Обычно упакован UPX и дополнительным упаковщиком, в распакованном виде имеет размер 1817 КБ.
  • На зараженном компьютере создает 10 одинаковых файлов README1.txt, … README10.txt с требованиями выкупа на русском и английском языках.
  • Для шифрования содержимого каждого файла и имени каждого файла генерируется уникальный 256-битный ключ AES, шифрование осуществляется в режиме CBC с нулевым начальным вектором.
  • Содержит 100 публичных ключей RSA-3072 с открытой экспонентой 65537 (всего в разных сэмплах было обнаружено 300 различных публичных ключей).
  • Имеет функционал скачивания и запуска вредоносного ПО.
Криптографическая схема.
Генерация id зараженного компьютера



  • Троянец получает имя компьютера (comp_name) с помощью API-функции GetComputerName и число процессоров (num_cpu) с помощью API-функции GetSystemInfo;
  • на основе серийного номера системного тома вычисляет 32-битную константу и конвертирует в hex-строку (vol_const);
  • получает данные о версии ОС (os_version), разделенные символом “;” (например, “5;1;2600;1;Service Pack 3”);
  • формирует строку comp_namenum_cpuvol_constos_version;
  • вычисляет MD5 от этой строки;
  • конвертирует MD5-хэш в hex-строку и берет из нее первые 20 символов. Полученный результат используется в качестве id компьютера.
Получение ключевых данных


После генерации id осуществляется попытка подключиться с C&C серверу, находящемуся в сети Tor, отправить ему id компьютера и в ответ получить публичный RSA-ключ. В случае неуспеха выбирается один из 100 зашитых в троянце публичных RSA-ключей.


Шифрование файлов

Для шифрования файлов применяется алгоритм AES-256 в режиме CBC. Для каждого кодируемого файла генерируется два случайных 256-битных ключа AES: один используется для шифрования содержимого файла, второй – для шифрования имени файла. Данные ключи помещаются в служебную структуру key_data, которая сама шифруется выбранным ключом RSA (занимает 384 байта после зашифрования) и помещается в конец кодируемого файла:

crypto_shade_ru_5.png


В синтаксисе языка C данную структуру можно записать следующим образом:

crypto_shade_ru_6.png

Троянец пытается переименовать закодированный файл, выбирая в качестве нового имени результат вычисления Base64(AES_encrypt(оригинальное имя файла)).xtbl (например,ArSxrr+acw970LFQw.xtbl), а в случае неуспеха просто дописывает к оригинальному имени файла расширение .ytbl. В более поздних версиях перед расширением .xtbl стал приписываться id зараженного компьютера, например: ArSxrr+acw970LFQw.043C17E72A1E91C6AE29.xtbl.


Коммуникация с командным сервером
В теле троянца содержится адрес одного сервера C&C. Сами серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

Сэмпл отправляет следующие запросы на C&C сервер:

  1. Запрос нового публичного ключа RSA:
    GET http://<server>.onion/reg.php?i=ID&b=build&v=version&ss=stage
    ID – идентификатор зараженного компьютера;
    build – идентификатор конкретного сэмпла зловреда;
    version – версия зловреда, были встречены версии 1 и 2;
    stage обозначает этап шифрования – запрос нового публичного ключа RSA или сообщение о завершении шифрования файлов.

  2. Сообщение об ошибке:
    GET http://<server>.onion/err.php?i=ID&b=build&v=version&err=error
    error – base64-закодированное сообщение о произошедшей при шифровании ошибке.

  3. Сводка о текущей стадии работы шифровальщика:
    GET http://<server>.onion/prog.php?i=ID&b=build&v=version&ss=stage&c=count&f=finish
    count – текущее количество зашифрованных файлов;
    finish – флаг окончания шифрования.

  4. Информация о системе:
    POST http://<server>.onion/sys.php?i=ID&b=build&v=version&ss=stage&c=count&k=key_number&si=info
    key_number – номер выбранного ключа RSA (в случае, если ключ не был получен от сервера, а был выбран из содержащихся в теле зловерда);
    info – информация, полученная с зараженного компьютера:
    • Имя компьютера
    • Имя пользователя
    • IP-адрес
    • Домен компьютера
    • Список логических дисков
    • Версия ОС Windows
    • Список установленного ПО
  5. Запрос списка URL-адресов, с которых требуется скачать и запустить дополнительное вредоносное ПО:
    GET http://<server>.onion/cmd.php?i=ID&b=build&v=version
Распространение шифровальщика

Партнерская программа
Код, который пользователям предлагается отправить по электронной почте злоумышленникам, может иметь вид ID|0 в случае, если публичный ключ был получен с C&C сервера, илиID|key_number|build|version в случае, если был выбран один из зашитых в сэмпл публичных ключей RSA с номером key_number. ID обозначает идентификатор зараженного компьютера, а два числаbuild и version обозначают ID конкретного сэмпла и версию шифровальщика соответственно.

При анализе образцов зловреда нами были обнаружены различные комбинации значений build, адресов почты для связи пользователей со злоумышленниками и адресов C&C. Разным значениям build соответствуют разные почтовые адреса, при этом один и тот же C&C может обслуживать несколько разных сэмплов:

m2g6DXz.png


Мы зафиксировали распространение разных сэмплов двух версий шифровальщика. При этом каждому конкретному образцу одной и той же версии зловреда соответствовала уникальная комбинация build-email (ID конкретного сэмпла и адреса для связи со злоумышленниками).

Хотя объявлений о партнерстве найдено не было, на основе этих данных мы можем предположить, что распространение троянца и прием выкупа осуществляются через партнерскую сеть. Вероятно, ID сэмплов (значение build) и разные почтовые адреса соответствуют различным партнерам-распространителям данного вредоносного ПО.

География


crypto_shade_ru_7.png


0an5PWM.png



Загружаемое вредоносное ПО: троянец-брутфорсер паролей к веб-сайтам

Среди вредоносных программ, которые скачивает Trojan-Ransom.Win32.Shade, встречается троянец-брутфорсер паролей к web-сайтам. По своей внутренней организации брутфорсер очень напоминает самого шифровальщика – наиболее вероятно, он является проектом тех же авторов. Скачиваемый зловред получил вердикт Trojan.Win32.CMSBrute.

Общие черты семейства CMSBrute


  • Написан на C++ с применением STL и собственных классов.
  • Статически слинкован с клиентом Tor.
  • Использует библиотеки boost (threads), curl, OpenSSL.
  • В каждый сэмпл зашит адрес одного сервера C&C, всего в разных сэмплах были найдены адреса трех C&C серверов. Все C&C находятся в сети Tor, они отличаются от адресов, встреченных в образцах Trojan-Ransom.Win32.Shade.
  • Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
  • Обычно упакован UPX, в распакованном виде имеет размер 2080-2083 КБ.
  • Копирует себя в одну из директорий диска C с именем csrss.exe.
  • Скачивает дополнительные dll-плагины. Плагины содержат код для определения установленной системы управления контентом (CMS) на атакуемом веб-сайте, поиска админ-панели и подбора паролей. Были обнаружены плагины, поддерживающие сайты на основе Joomla, WordPress и DataLife Engine.
Коммуникация с командным сервером


В каждом образце Trojan.Win32.CMSBrute содержится адрес одного сервера C&C. Серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

Сэмпл отправляет следующие запросы на C&C сервер:

  1. Регистрация нового бота:
    GET http://<server>.onion/reg.php?n=ID&b=build&v=version&sf=stage
    ID – идентификатор зараженного компьютера; вычисляется по алгоритму, незначительно отличающемуся от такового в шифровальщике Shade;
    build – идентификатор конкретного сэмпла зловреда; был встречен только build 1;
    version – версия зловреда; была встречена только версия 1;
    stage – этап работы троянца.

  2. Запрос на получение URL-адресов для скачивания или обновления плагинов-dll
    GET http://<server>.onion/upd.php?n=ID&b=build&v=version&p=plugins

  3. Запрос задания на определение CMS на сайте и проверки логинов и паролей:
    GET http://<server>.onion/task.php?n=ID&b=build&v=version&p=plugins
    plugins – версии установленных плагинов-dll.
    Ответ от сервера приходит в формате json и содержит адреса атакуемых сайтов и словарь для подбора паролей.

  4. Отправка отчета о брутфорсе:
    POST http://<server>.onion/rep.php?n=ID&b=build&v=version&rep=report
    report – json-строка, содержащая отчет о найденных СMS на веб-сайте и подобранных логинах и паролях от админ-панели.

Рекомендации


В случае Trojan-Ransom.Win32.Shade актуальны все ставшие уже традиционными советы по противодействию шифровальщикам. Подробные инструкции можно найти по адресам:
Защита от вредоносной программы Trojan-Ransom.Win32.Shade
Рекомендации по защите компьютера от программ-шифровальщиков

Если компьютер уже пострадал от данного троянца, чрезвычайно важно провести полное сканирование и лечение антивирусным продуктом, т.к. Trojan-Ransom.Win32.Shade скачивает и устанавливает в скомпрометированную систему вредоносное ПО нескольких различных семейств, указанных в начале статьи.

Источник: Шифровальщик Shade: двойная угроза
 
Последнее редактирование модератором:
Наделавший немало бед в прошлом году Shade похоже получил новую итерацию.

Windows10 Ransomware шифрует файлы пользователей, добавляя расширение .windows10, а затем требует выкуп за дешифровку.
Ориентирован, главным образом, на русскоязычных пользователей, т.к. англоязычный текст добавлен вторым на случай, если пострадавшие не знают русского языка.
ВНИМАНИЕ!
Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.

ATTENTION!
All the important files on your disks were encrypted.
The details can be found in the README.txt files which you can find on any of your drives.

Также, как у прародителя Shade пронумерованные записки о выкупе README1.txt — README10.txt создаются в каждой папке, где есть зашифрованные файлы, + на Рабочем столе и в корневых директориях всех дисков.
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
095AAECA1E4B0BCD71DE|677|3|2
на электронный адрес Ryabinina.Lina@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
..далее инструкции по установке браузера Тор и выход на сайт оплаты...
 
Записки о выкупе README.txt с добавлением цифр от 1 до 10 создаются в каждой папке, где есть зашифрованные файлы.
Не совсем так. Эти файлы создаются в корне каждого диска, а также на рабочем столе каждой учетной записи.

..далее инструкции по установке браузера Тор и выход на сайт оплаты...
На сайте только указаны резервные адреса для обратной связи на случай, если основную почту злодеев прикроют.
 
mike 1, в корне диска и на столе - это было у оригинального Shade.
Чтобы написать, что так есть и у новой итерации, мне нужно было подтверждение.

thyrex, mike 1, спасибо за замечания. Дополняйте топик, если будут новые данные.
 
Это Shade. Держите подтверждение.

Вообще странно, что остались без Вашего внимания другие модификации, например, с расширениями .breaking_bad, .da_vinci_code
Это же касается и адресов для связи с вымогателями.
 

Вложения

  • FRST (2).txt
    72.1 KB · Просмотры: 11
Последнее редактирование:
thyrex, по Shade топик я не заполнял вообще. :Biggrin:

Увидел ридмишки в логе, добавил в пост про итерацию Windows10.
Также, как у прародителя Shade пронумерованные записки о выкупе README1.txt — README10.txt создаются в каждой папке, где есть зашифрованные файлы, + на Рабочем столе и в корневых директориях всех дисков.
 
thyrex, куда ж она делась? :Biggrin: Хорошо работает.
Я попробовал и расшифровал папку с котятами - была зашифрована в декабре 2015. Хозяйка дождалась.
Майку и разрабам респект! Счас отправлю по почте. Пушистик уже, наверное, большой стал.
1ф.png 2ф.png
 
Назад
Сверху Снизу