«Лаборатория Касперского» сообщает, что в троянском семействе Rakhni, специализирующемся на шифровании файлов, появился отпрыск со вторым образованием. Trojan-Downloader.Win32.Rakhni проверяет возможности жертвы и по результатам загружает вымогательское ПО или криптомайнер.

Эксперты наблюдают Rakhni с 2013 года и за прошедшее время отметили много изменений. Авторы трояна опробовали разные механизмы получения ключей, алгоритмы шифрования, криптобиблиотеки и способы распространения зловреда. Расширение функциональности за счет добавления майнера — это весьма приметное нововведение, соответствующее общему тренду в мире киберпреступности, где наблюдается отход от вымогательства в пользу скрытной добычи криптовалюты как более выгодного способа монетизации вредоносного ПО.

Больше прочих от атак даунлоудера Rakhni страдают россияне — на их долю, по данным «Лаборатории Касперского», приходится 95,57% заражений, зафиксированных на настоящий момент. Новоявленный Windows-зловред написан на Delphi; для затруднения анализа все строки кода зашифрованы тривиальной заменой символов по алгоритму (с помощью шифра подстановки).

Другие охранные меры

Распространяется новый троянский загрузчик через вложения в спам, при этом для работы с присланным документом получателю советуют сохранить его на ПК, разрешив редактирование. При попытке открыть вложенный файл запускается вредоносный код, замаскированный под программу Adobe (в примере, приведенном в блог-записи «Лаборатории Касперского», зловред имитирует некий плагин Adobe Reader). Система контроля учетных записей Windows при этом сообщает, что производителя данного ПО определить не удалось, и запрашивает для него разрешение на внесение изменений на компьютере.

Чтобы усыпить бдительность пользователя, даунлоудер Rakhni также отображает сообщение об ошибке — якобы документ не открывается именно по этой причине. Иллюзию работы легитимной программы поддерживают фальшивая иконка, поддельный сертификат разработчика, а также ложный HTTP-запрос, направляемый на сайт IT-компании.

Перед закачиванием полезной нагрузки Rakhni проверяет рабочее окружение: правильность пути к своему файлу и наличие нежелательных запущенных процессов, а также признаков ловушки (по названию компьютера и IP-адресу) или виртуальной машины. Если хотя бы одна из проверок даст неудовлетворительный результат, загрузчик принудительно завершает свое исполнение.

В целях самообороны троян также проверяет наличие антивирусов по черному списку и в случае отсутствия сторонней защиты отключает Windows Defender. Перед тем, как завершить работу, Rakhni создает скрипт для удаления временных файлов, созданных в ходе заражения.

Просить выкуп или использовать для майнинга?

Выбор между шифрованием и добычей криптовалюты производится по результатам проверки наличия папки %AppData%\Bitcoin. «Если эта папка есть, загрузчик скачает шифровальщик, — поясняют исследователи. — Если папки нет и при этом у компьютера более двух логических процессоров, будет скачан майнер». В том случае, когда %AppData%\Bitcoin отсутствует и доступен лишь один логический процессор, Rakhni задействует еще один компонент — с функционалом червя, призванным обеспечить дальнейшее распространение инфекции по локальной сети.

Исполняемый файл шифровальщика носит имя taskhost.exe. После запуска он тоже проверяет окружение и начинает выполнять основные функции лишь во время простоя машины (этот период должен составлять не менее двух минут). Перед шифрованием принудительно завершаются процессы ряда программ по списку — к примеру, PDF-ридеры, Outlook, WinRAR, Photoshop. Если в системе нет антивирусов «Лаборатории Касперского», Trojan-Ransom.Win32.Rakhni также удаляет теневые копии Windows.

Шифрование файлов осуществляется 1024-битным ключом RSA, необходимая для расшифровки информация отсылается на почтовый адрес автора атаки. После шифрования расширение файлов изменяется на .neitrino; в папках с зашифрованными файлами зловред создает файл MESSAGE.txt с требованием выкупа, электронным адресом (@protonmail.com) для связи и идентификатором жертвы.

Примечательно, что и загрузчик, и шифровальщик тоже связываются с хозяином по электронной почте, сообщая свои данные, результаты проверок и статусы. Анализ также показал, что некоторые сообщения даунлоудера содержат шпионскую информацию: список запущенных процессов и снимки экрана.

Загружаемый Rakhni майнер подписан поддельным сертификатом Microsoft; он сохраняется в %AppData% под именем svchost.exe. По словам экспертов, этот добытчик криптовалюты способен генерировать Monero, Monero Original и Dash.

Категории: Аналитика, Вредоносные программы, Главное