Обнаружен новый RaaS-вымогатель

26 февраля 2018 г., понедельник

Появились первые жертвы шифровальщика; перспектив для создания бесплатного декриптора пока не видно.

Эксперты Bleeping Computer проанализировали образец вымогательского ПО Data Keeper, найденный на компьютере одной из жертв на прошлой неделе.

По словам репортера, данная программа-шифровальщик начала продвигаться в дарквебе как RaaS-услуга (Ransomware-as-a-Service) совсем недавно — 20 февраля. Спустя два дня ИБ-исследователи уже обнаружили ее первые варианты на машинах обескураженных пользователей.

Автор записи на Bleeping Computer отмечает, что это уже третий с начала года шифровальщик, предлагаемый в пользование по RaaS-модели. Ранее таким же образом был открыт доступ к Saturn и GandCrab — судя по русскоязычному объявлению на теневом форуме, обнаруженному перуанским исследователем Давидом Монтенегро (David Montenegro).

Анализ показал, что Data Keeper написан на .NET, но в отличие от аналогичных вымогателей сделан более продуманно.

«Обнаруженный в четверг образец [вымогательского ПО Data Keeper] состоит из четырех слоев, — рассказывает исследователь MalwareHunter, помогавший Bleeping Computer препарировать сэмпл. — Первый слой — это EXE, вбрасывающий другой EXE в %LocalAppData% под случайным именем и с расширением .bin. Затем он его исполняет, используя параметры ProcessPriorityClass.BelowNormal и ProcessWindowStyle.Hidden. Второй EXE загружает DLL-библиотеку, а та — другую DLL, которая содержит собственно вымогателя, шифрующего файлы. В каждом слое есть кастомные строки и защита ресурсов. Кроме того, каждый слой защищен с помощью ConfuserEx».

Столь высокий уровень защиты необычен для NET-шифровальщиков. Также в отличие от многих аналогов Data Keeper использует легитимную утилиту PsExec — облегченный вариант Telnet, позволяющий выполнять некоторые задачи по администированию удаленных систем Windows. Вымогатель использует PsExec для запуска своих копий на других машинах в сети жертвы.

Шифрование осуществляется двукратным прогоном алгоритма AES, а затем 4096-битным ключом RSA. Data Keeper также отыскивает общие сетевые папки и пытается зашифровать в них все файлы. Примечательно, что никакое расширение он при этом не добавляет и результат обнаруживается лишь при попытке открыть файл, то есть масштабы бедствия жертва оценить не в состоянии.

Более того, RaaS-модель позволяет каждому участнику партнерской программы определять типы целевых файлов, и у разных жертв они могут не совпадать. Единственным визуальным показателем заражения является сообщение с требованием выкупа — htm-файл ReadMe, который Data Keeper помещает во все папки с зашифрованными файлами.

Размер выкупа тоже определяется распространителем и у разных жертв различен. Для получения инструкций по оплате жертве предлагается скачать браузер Tor и пройти по указанной ссылке. Платить придется за каждую зараженную машину, так что для организаций, не озаботившихся резервированием, возврат всей заблокированной информации может оказаться накладным.

На настоящий момент слабых мест в схеме шифрования, применяемой Data Keeper, не обнаружено, так что единственный способ вернуть свои данные в случае заражения — восстановление из резервных копий.

Threatpost