Троян DanaBot обзавелся вымогательским модулем

В одной из кампаний зловред распространяет вымогатель NonRansomware.

Быстро развивающийся троян DanaBot получил дополнительную функциональность. В очередную версию зловреда в одной из европейских кампаний входит модуль-вымогатель NonRansomware. В начале мая ИБ-исследователи зафиксировали первые случаи применения этого модуля.

NonRansomware кодирует все файлы на локальных дисках, кроме тех, которые расположены в директории Windows. Каждый объект шифруется в отдельном потоке с помощью алгоритма AES128. После этого файлы получают расширение .non, а в каждую папку помещается документ HowToBackFiles.txt, где находится инструкция по выкупу данных.

Также зловред загружает в папку %TEMP% исполняемый файл b.bat и запускает его. Скрипт отвечает за:

• Отключение Защитника Windows, программ мониторинга вроде TeamViewer и Veeam и спящего режима.
• Показ скрытых файлов.
• Удаление логов, очистку корзины и файла pagefile.sys.
• Удаление теневых копий файлов.
• Обход политики PowerShell.
• Запрет на восстановление логических дисков C, D, E, F и H.

Эксперты из CheckPoint изучили модуль NonRansomware и написали инструмент для восстановления зашифрованных им данных. Как выяснилось, злоумышленники фактически скопировали код из открытой библиотеки DelphiEncryptionCompendium (DEC). Более того, в исходнике обнаружилось подробное описание процесса шифрования и информация о том, что нужно для восстановления файлов, а именно — случайное число, которое зловред хранит прямо в этих файлах, и пароль, на основе которого генерится идентификатор жертвы. Последний является строковым представлением серийного номера системного диска, и его несложно подобрать брутфорсом, зная id, который указан в записке о выкупе.

Таким образом, единственное, что требуется для восстановления зашифрованных файлов, — это вызвать готовую функцию DecodeFile с подобранным паролем.

DanaBot — это модульный троян, написанный на Delphi. Впервые его обнаружили в Австралии в мае 2018 года. За полгода жизни зловред распространился на Польшу, Италию, Германию, Австрию и Украину. Европейские спам-кампании с его участием показали, что троян быстро расширяет свои возможности с помощью новых плагинов и способов рассылки спама.

С сентября 2018 года DanaBot начал использоваться для массированных атак на американские банки, такие как Bank of America, TD Bank, Royal Bank и JP Morgan Chase. Злоумышленники распространяли троян под видом сообщений от сервиса eFax со ссылкой на загрузку документа, содержащего вредоносный код.

Следующий важный этап эволюции DanaBot произошел в конце января 2019 года, когда авторы зловреда усовершенствовали обмен данными с управляющим сервером. В частности, они доработали его архитектуру и внедрили многоэтапное шифрование данных, что затруднило его обнаружение антивирусными системами.

Вот некоторые из сегодняшних возможностей DanaBot:

• Кража учетных данных из браузера.
• Сбор учетных данных криптокошельков.
• Запуск прокси-сервера на зараженной машине.
• Создание скриншотов и запись видео.
• Запрос обновлений с C&C сервера и удаленное исполнение команд.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля