By | December 4, 2017

מומחי אבטחה Zscaler להזהיר שניים לאחרונה מצאו. משפחות מבוססות NET ransomware מצפין הקבצים של משתמשים באמצעות קוד מקור פתוח.

המשפחות תוכנות זדוניות נקראים מערבולת, BUGWARE והם כבר הבחין ב חי פיגועים שבוצעו באמצעות דוא ל זבל המכיל כתובות Url זדוניות.

מערבולת BUGWARE נאספים שניהם ב- Microsoft ביניים שפה (MSIL), יש כבר ארוז עם פקר שנקרא ‘Confuser’.

על פי הניתוח של Zscaler, מערבולת כתוב בפולנית, הוא משתמש בתקן AES-256 הצפנה כדי להצפין את התמונה, שמע, וידאו, מסמכים וקבצים אחרים נתונים חשובים פוטנציאל במחשב של הקורבן.

באופן דומה על גרסאות ransomware אחרות, מערבולת טיפות כופר ברגע השלימה את תהליך ההצפנה, המיידעת את הקורבן על איך הם יוכלו לשחזר את הנתונים שלהם ועל אופן שליחת תשלום הכופר.

Ransomware מאפשרים למשתמשים לפענח את שני הקבצים שלהם בחינם ודורש כופר 100 דולר, אשר כנראה עולה ל 200 דולר בעוד ארבעה ימים. הקורבנות תוכנות זדוניות מתבקשים ליצור קשר עם ההאקרים דרך כתובות הדוא ל Hc9@2.pl או Hc9@goat.si.

להיות מותקן על המערכת, ransomware מערבולת מנסה להשיג התמדה בתהליך יצירת ערך רישום, וכן מפתח רישום בשם “AESxWin”. כמו כן, התוכנה הזדונית היה לב למחוק עותקי צל מניעה ממשתמשים שחזור הנתונים שלהם מבלי לשלם את הכופר.

במהלך הפקודה של תוכנות זדוניות וניתוח תקשורת בקרה (C & C), מומחי אבטחה הבחין התוכנה הזדונית שולחת מידע מערכת, מבקש סיסמה API משמש עבור מפתח הצפנה ופענוח.

על-פי Zscaler, ransomware מערבולת מבוסס על AESxWin – כלי הצפנה ופענוח freeware מתארח על GitHub ואת שפותחה על ידי היזם המצרי Eslam המפלגה. מסיבה זו, הקבצים המוצפנים יכול להיות מפוענח באמצעות AESxWin אם הסיסמה משמשים להצפנה ידוע.

Ransomware BUGWARE מבוססת על קוד פתוח קוד מוסתר דמעה, אשר נוצלה כדי ליצור משפחות אחרות ransomware לפני כמה זמן.

BUGWARE משתמש גם אישור לא חוקי מתיימר להיות עבור גז INFORMATICA LTDA, מבקש את קרבנותיו לשלם המקבילה של אלף באמת ברזילאי ב- Monero.

Ransomware עושה רשימה של נתיבים כדי להצפין מאחסן אותו לקובץ בשם Criptografia.pathstoencrypt ואני מחפשת כל רשתות קבועות וכוננים נשלפים, מוסיף כל הנתיבים הללו לרשימה.

המומחים גם שמתי לב כי BUGWARE היה יצירת מפתח ההצפנה, באמצעות אלגוריתם AES 256 סיביות להצפנת הקבצים של משתמשים, כמו גם שינוי שם של קבצים מוצפנים. המפתח AES מוצפן גם באמצעות מפתח ציבורי RSA, ואת המפתח המקודדים באמצעות base64 נשמרת ברישום.

כדי להשיג את ההתמדה, ransomware BUGWARE יוצר מפתח הפעלה אשר מבטיח שזה מבוצע בכל פעם שהמשתמש נכנס לתוך המחשב. במקרה תוכנות זדוניות מזהה כוננים נשלפים, זה מפיל עותק של עצמה עליהם, בשם “fatura-vencida.pdf.scr.”

בנוסף, BUGWARE משנה את הרקע של שולחן העבודה של הקורבן בעזרת קבצי תמונות שהורדו מ- “i[.]imgur.com/NpKQ3KZ.jpg”.

Leave a Reply

Your email address will not be published. Required fields are marked *