Эксперты Bleeping Computer проанализировали образец вымогательского ПО Data Keeper, найденный на компьютере одной из жертв на прошлой неделе.

По словам репортера, данная программа-шифровальщик начала продвигаться в дарквебе как RaaS-услуга (Ransomware-as-a-Service) совсем недавно — 20 февраля. Спустя два дня ИБ-исследователи уже обнаружили ее первые варианты на машинах обескураженных пользователей.

Автор записи на Bleeping Computer отмечает, что это уже третий с начала года шифровальщик, предлагаемый в пользование по RaaS-модели. Ранее таким же образом был открыт доступ к Saturn и GandCrab, — в последнем случае судя по русскоязычному объявлению на теневом форуме, обнаруженному перуанским исследователем Давидом Монтенегро (David Montenegro).

Анализ показал, что Data Keeper написан на .NET, но в отличие от аналогичных вымогателей сделан более продуманно.

«Обнаруженный в четверг образец [вымогателя Data Keeper] состоит из четырех слоев, — рассказывает исследователь MalwareHunter, помогавший Bleeping Computer препарировать сэмпл. — Первый слой — это EXE, вбрасывающий другой EXE в %LocalAppData% под случайным именем и с расширением .bin. Затем он его исполняет, используя параметры ProcessPriorityClass.BelowNormal и ProcessWindowStyle.Hidden. Второй EXE загружает DLL-библиотеку, а та — другую DLL, которая содержит собственно вымогатель, шифрующий файлы. В каждом слое есть кастомные строки и защита ресурсов. Кроме того, каждый слой защищен с помощью ConfuserEx».

Столь высокий уровень защиты необычен для NET-шифровальщиков. Также, в отличие от многих аналогов, Data Keeper использует легитимную утилиту PsExec — облегченный вариант Telnet, позволяющий выполнять некоторые задачи по администрированию удаленных систем Windows. Вымогатель использует PsExec для запуска своих копий на других машинах в сети жертвы.

Шифрование осуществляется двукратным прогоном алгоритма AES, а затем 4096-битным ключом RSA. Data Keeper также отыскивает общие сетевые папки и пытается зашифровать в них все файлы. Примечательно, что никакое расширение он при этом не добавляет, и результат обнаруживается лишь при попытке открыть файл, то есть масштабы бедствия жертва оценить не в состоянии.

Более того, RaaS-модель позволяет каждому участнику партнерской программы определять типы целевых файлов, и у разных жертв они могут не совпадать. Единственным визуальным показателем заражения является сообщение с требованием выкупа — htm-файл ReadMe, который Data Keeper помещает во все папки с зашифрованными файлами.

Размер выкупа тоже определяется распространителем и у разных жертв различен. Для получения инструкций по оплате жертве предлагается скачать браузер Tor и пройти по указанной ссылке. Платить придется за каждую зараженную машину, так что для организаций, не озаботившихся резервированием, возврат всей заблокированной информации может оказаться накладным.

На настоящий момент слабых мест в схеме шифрования, применяемой Data Keeper, не обнаружено, так что единственный способ вернуть свои данные без уплаты выкупа в случае заражения — восстановление из резервных копий.

Категории: Аналитика, Вредоносные программы