Быстро развивающийся троян DanaBot получил дополнительную функциональность. В очередную версию зловреда в одной из европейских кампаний входит модуль-вымогатель NonRansomware. В начале мая ИБ-исследователи зафиксировали первые случаи применения этого модуля.

NonRansomware кодирует все файлы на локальных дисках, кроме тех, которые расположены в директории Windows. Каждый объект шифруется в отдельном потоке с помощью алгоритма AES128. После этого файлы получают расширение .non, а в каждую папку помещается документ HowToBackFiles.txt, где находится инструкция по выкупу данных.

Также зловред загружает в папку %TEMP% исполняемый файл b.bat и запускает его. Скрипт отвечает за:

  • Отключение Защитника Windows, программ мониторинга вроде TeamViewer и Veeam и спящего режима.
  • Показ скрытых файлов.
  • Удаление логов, очистку корзины и файла pagefile.sys.
  • Удаление теневых копий файлов.
  • Обход политики PowerShell.
  • Запрет на восстановление логических дисков C, D, E, F и H.

Эксперты из CheckPoint изучили модуль NonRansomware и написали инструмент для восстановления зашифрованных им данных. Как выяснилось, злоумышленники фактически скопировали код из открытой библиотеки DelphiEncryptionCompendium (DEC). Более того, в исходнике обнаружилось подробное описание процесса шифрования и информация о том, что нужно для восстановления файлов, а именно — случайное число, которое зловред хранит прямо в этих файлах, и пароль, на основе которого генерится идентификатор жертвы. Последний является строковым представлением серийного номера системного диска, и его несложно подобрать брутфорсом, зная id, который указан в записке о выкупе.

Таким образом, единственное, что требуется для восстановления зашифрованных файлов, — это вызвать готовую функцию DecodeFile с подобранным паролем.

DanaBot — это модульный троян, написанный на Delphi. Впервые его обнаружили в Австралии в мае 2018 года. За полгода жизни зловред распространился на Польшу, Италию, Германию, Австрию и Украину. Европейские вредоносные кампании показали, что троян быстро расширяет свои возможности с помощью новых плагинов и предоставляется в пользование по модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS).

С сентября 2018 года DanaBot начал использоваться для массированных атак на американские банки, такие как Bank of America, TD Bank, Royal Bank и JP Morgan Chase. Злоумышленники распространяли троян под видом сообщений от сервиса eFax со ссылкой на загрузку документа, содержащего вредоносный код.

Следующий важный этап эволюции DanaBot произошел в конце января 2019 года, когда авторы зловреда усовершенствовали обмен данными с управляющим сервером. В частности, они доработали его архитектуру и внедрили многоэтапное шифрование данных, что затруднило его обнаружение антивирусными системами.

Вот некоторые из сегодняшних возможностей DanaBot:

  • Кража учетных данных из браузера.
  • Сбор учетных данных криптокошельков.
  • Запуск прокси-сервера на зараженной машине.
  • Создание скриншотов и запись видео.
  • Запрос обновлений с C&C сервера и удаленное исполнение команд.

Категории: Аналитика, Вредоносные программы