By | October 31, 2017

מומחי אבטחה Fortinet הזהיר Sage ransomware יש הוסלם הפריווילגיות שלו והוסיף יכולות אנטי-ניתוח.

למרות האיום היה פעיל ביותר בתחילת השנה, הוא לא הראה כל פעילות משמעותית במהלך ששת החודשים האחרונים.

בחודש מרץ, מצאו החוקרים אבטחה דגימות הדומה גירסה של מרווה, עם זאת, זה היה ניתוח נגד ויכולות הסלמה הרשאה.

Sage ransomware מופץ באמצעות דוא ל זבל עם קבצים מצורפים JavaScript זדוני. לפי המומחים, התוכנה הזדונית משתף את תשתית ההפצה אותו עם ransomware Locky.

בנוסף, החוקרים הבחינו כי האיום מופץ באמצעות קבצי מסמכים המכילים פקודות מאקרו זדונית. זה ממנף את שמות תחום של הרמה העליונה (TLD) .info ו- .top למשלוח תוכנות זדוניות.

Sage ransomware משתמש אלגוריתם הצפנה ChaCha20 כדי להצפין את הקבצים של הקורבן ויוסיף את הסיומת .sage אליהם. התוכנה הזדונית מונע מדביק מחשבים אשר יש פריסות לוח המקשים הבאים: הבלארוסית, Kazak, אוזבקיסטן, רוסית, אוקראינית, Sakha, ו לאטבית.

הניתוח של הקוד של המרווה מראה כי רוב מחרוזות הוצפנו בניסיון להסתיר את התנהגות זדונית. לפי Fortinet, יוצרי תוכנות זדוניות להשתמש בצופן ChaCha20 להצפנה ויש כל מחרוזת מוצפנת משלו מפתח הפענוח קשיח.

פרט הנ ל, מרווה כבר מבצעת מגוון בדיקות כדי לקבוע אם זה נטענים לתוך ארגז חול או מכונה וירטואלית לצורך ניתוח.

Ransomware פירוט כל התהליכים הפעילים במחשב, מחשבת hash עבור כל אחד מהם, בודק הגיבובים נגד רשימה בקידוד קשיח של תהליכים מקארתיזם. חוץ מזה, הוא בודק את הנתיב המלא של ביצוע ואיפה מסתיימת אם הוא כולל מחרוזות כמו לדוגמה, malw, sampel, וירוס, התוכנה הזדונית {MD5 של המדגם,} ו {SHA1 של דגימות}.

בנוסף, הגרסה החדשה של מרווה בודק את השמות מחשב ומשתמש כדי לקבוע אם הם מתאימים רשימה של שמות המשמשים בדרך כלל בסביבות ארגז חול. חוץ מזה, היא משתמשת x86 את ההוראה CPUID כדי לקבל את פרטי מעבד ולהשוות אותו לרשימה של לרשימה השחורה מזהי ה-CPU.

מלבד כל הפונקציות אחרים עד כה, התוכנה הזדונית בודק אם אנטי-וירוס פועלת במחשב (על-ידי ספירה של שירותים הפועלים תחת מנהל בקרת השירות) ומשווה אותו קבוצה של כתובות MAC מקארתיזם.

המומחים גם גילה כי החכם הוא מסוגל היא מרוממת את הזכות שלו על-ידי ניצול פגיעות הליבה של Windows תוקנו (CVE-2015-0057) או על-ידי שימוש לרעה eventvwr.exe וביצוע חטיפת הרישום כדי לעקוף את ‘ בקרת חשבון משתמש ‘ (UAC).

פתק כופר מרווה תורגם לשפות חדשות שש רומז כי הבורא ransomware אולי היעד מדינות נוספות בעתיד.

בזמן הנוכחי, מונחים הקורבנות תוכנות זדוניות כדי לגשת אתר בצל באמצעות דפדפן TOR ולא לשלם כופר 2000 דולר כדי לרכוש “התוכנה Decrypter מרווה” ולשחרר את הקבצים שלהם.

Leave a Reply

Your email address will not be published. Required fields are marked *