TeslaCrypt, как многие его собратья, не склонен останавливаться на достигнутом. За последние пару недель исследователи из Endgame обнаружили два новых сэмпла криптоблокера, вооруженные дополнительными средствами обфускации и сокрытия, а также более длинным списком файловых расширений.

Как рассказала Threatpost эксперт Аманда Руссо (Amanda Rousseau), новые образцы массово распространяются вложением в спам-письмо, имитирующее сообщение от службы доставки. Версия 4.1A, по оценке Endgame, появилась примерно неделю назад; помимо уже известных расширений она также нацелена на .7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv и .wallet.

Раздача TeslaCrypt через спам тоже новая перемена: в недавних TeslaCrypt-кампаниях для доставки этого блокера использовались эксплойт-паки и редиректы с сайтов WordPress и Joomla. В данном случае жертва должна открыть вложенный ZIP-файл, чтобы активировать JavaScript-даунлоудер, который использует Wscript (компонент Windows) для загрузки бинарника TeslaCrypt из домена greetingsyoungqq[.]com.

По словам собеседницы Threatpost, анализ обновленного блокера оказался весьма затруднительным, так как тот инициирует много программных потоков и отладочных операций, чтобы осложнить задачу средствам защиты. «Похоже, он очень старается спрятать строки в памяти, — говорит Руссо. — [Антивирусу] обнаружить их гораздо сложнее, если он не сканирует память».

Endgame - TeslaCrypt 4.1A

Использование Wscript тоже осложняет детектирование, так как трафик выглядит как легитимные коммуникации Windows. По свидетельству Руссо, средствам детектирования понадобилось четыре дня, чтобы распознать эту технику и запечатлеть ее в сигнатурах. Срок службы C&C-серверов, на которых размещен TeslaCrypt, ограничен, по его окончании злоумышленники меняют хостинг.

Обновленный блокер также использует COM-объект для сокрытия извлеченных строк кода и уничтожает идентификаторы зон, чтобы их не обнаружили. Кроме того, во избежание мониторинга зловред завершает ряд Windows-процессов: Task Manager, Registry Editor, SysInternals Process Explorer, System Configuration и Command Shell. Чтобы обеспечить постоянное присутствие, он копирует себя на диск и создает соответствующий параметр реестра.

Подробное техническое описание новой версии TeslaCrypt, в том числе используемых ею способов шифрования и антиотладочных техник, представлено в блоге Endgame.

В своем комментарии Руссо отметила, что в ходе тестирования новые сэмплы добрались до подключенных сетевых дисков и пытались и там шифровать файлы. Они также делают попытку удалить Volume Shadow Copy, Windows-службу теневого тома, чтобы лишить жертву этого шанса на восстановление.

Есть и хорошее известие: обновленный TeslaCrypt шифрует файлы ключом AES 256, а не 4096-битным RSA, как указано в сообщении с требованием выкупа, и притом информация, необходимая для расшифровки, остается на зараженной машине. «Мы разобрали алгоритм шифрования: он работает корректно, но действительно оставляет файл восстановления в системе, — подтвердила Руссо. — Если взять прежний декриптор TeslaCrypt и обновить его код соответственно [находкам], можно будет произвести расшифровку». Около года назад Cisco выпустила утилиту командной строки, способную расшифровывать файлы, полоненные TeslaCrypt.

Руссо также отметила, что авторы обновленного блокера позаимствовали много кода у прежних версий — в частности, использование COM-объектов и некоторые техники отладки. «Такое впечатление, что они идут по пятам за исследователями, отслеживая код [расшифровки], выпускаемый на GitHub и как open source, — говорит представитель Endgame, указывая на стремительные изменения, произошедшие за последний месяц, начиная с версии 4.0 и заканчивая 4.1A. — Мелкие поправки вносятся с каждой версией и с выходом каждого взломщика. Они берут лучшее из того, что использовалось пару месяцев назад, и применяют это сегодня».

Категории: Аналитика, Вредоносные программы