С конца февраля участники сообщества технической взаимопомощи Bleeping Computer фиксируют случаи заражения шифровальщиком VaultCrypt, ориентированным в основном на русскоязычную аудиторию. Этот вымогатель примечателен тем, что использует командные файлы Windows, а также GnuPG (GNU Privacy Guard) — open-source-программу для шифрования данных и создания ЭЦП.

Форумчане Bleeping Computer впервые узнали о существовании этого блокера от канадской компании Xtrania Technology Solutions: зловред заблокировал данные у одного из ее клиентов, добавив расширение .vault к имени каждого зашифрованного файла, и не показывал при этом никаких объяснений или требований. Позднее, уже в марте, исследователь из Emsisoft Фабиан Возар (Fabian Wosar) обнаружил основной скрипт VaultCrypt на Pastebin в открытом доступе.

Как оказалось, этот вымогатель сам не выводит сообщение с требованием выкупа. Вместо этого он регистрирует новое расширение, .vault, средствами системного реестра Windows; в итоге у всех зашифрованных файлов появляется новая иконка с изображением замка. Если жертва попытается открыть такой файл двойным нажатием кнопки мыши, на экране появится сообщение: «Stored in Vault» («Убрано в сейф»). Здесь же указано, что ключ можно раздобыть, посетив некий onion-сайт, доступный лишь через браузер Tor.

Дроппер исследователям обнаружить не удалось; анализ самого шифровальщика показал, что он, по сути, представляет собой большой bat-файл, использующий скрипты VBS и свободное ПО (GnuPG, sDelete) для шифрования файлов жертвы и исключения возможности их восстановления.

При первом запуске VaultCrypt с помощью GnuPG генерирует уникальную пару ключей RSA 1024, публичный и приватный. Публичным он зашифровывает найденные на машине файлы с расширениями XLS, DOC, PDF, RTF, PSD, DWG, CDR, CD, MDB, 1CD, DBF, SQLITE, JPG и ZIP. При этом зловред игнорирует некоторые папки, такие как Windows, msoffice, Intel, framework64, — видимо, чтобы не нарушить нормальную загрузку ОС. Одновременно блокер создает VBS-файл для уничтожения всех теневых копий тома на зараженном компьютере.

Приватный RSA-ключ, необходимый для расшифровки, VaultCrypt экспортирует и сохраняет в файле vaultkey.vlt. Сюда же он помещает информацию о конфигурации, кодовое имя зараженного ПК и общий счет зашифрованных файлов по каждому расширению из своего списка. Эти данные нужны для персонализации страницы приема платежей, а также для сбора статистики по типам шифруемых файлов.

Чтобы жертва не добралась до приватного ключа, блокер шифрует файл vaultkey.vlt с помощью публичного мастер-ключа, который един для всех жертв VaultCrypt. Итог сохраняется на зараженной машине как %AppData%\VAULT.KEY. Этим же мастер-ключом зловред шифрует файл CONFIRMATION.KEY, содержащий общий список зашифрованных файлов. Приватный мастер-ключ хранится у злоумышленников.

В довершение всех бед VaultCrypt загружает с другого onion-адреса Browser Password Dump, бесплатный инструмент командной строки для восстановления паролей, и сохраняет его как ssl.exe. С его помощью блокер попытается красть идентификаторы при заходе жертвы на разные сайты. Список этих учетных данных он сохраняет в файле cookie.vlt, который впоследствии будет загружен на тот же сайт в Tor-сети.

Чтобы исключить возврат зашифрованных файлов, VaultCrypt проводит очистку с помощью sDelete.

Чтобы исключить возможность возврата полоненных файлов с помощью специализированных утилит, VaultCrypt проводит тотальную очистку с помощью sDelete (консольной программы Microsoft для безопасного удаления данных) и выполняет при этом 16 проходов перезаписи. После этого восстановить прежнее содержимое практически невозможно. Приняв все меры предосторожности, блокер создает ряд записей в системном реестре, чтобы сообщение с требованием выкупа отображалось пользователю с каждым заходом в Windows.

При первом переходе жертвы заражения в сеть Tor по указанной в этом сообщении ссылке ей предлагают зарегистрироваться путем загрузки файла VAULT.KEY. Авторизация при этом производится автоматически, и для посетителя генерируются личный идентификатор и пароль, которые он должен использовать при последующих визитах. На следующей странице ему отображается бегущая строка с информацией о зашифрованных файлах, размере выкупа и т.п., а также с приглашением в чат на случай, если появятся какие-то вопросы. На момент проведения анализа экспертами Bleeping Computer злоумышленники требовали $247 — около 1 BTC.

Судя по представленным на BleepingComputer.com скриншотам, все страницы этого onion-сайта оформлены на русском языке, лишь некоторые поля заполнены по-английски. По словам исследователей, здесь присутствуют также ссылки на англоязычные инструкции, выложенные на Pastebin.

Как и многие его конкуренты, VaultCrypt предлагает жертве бесплатно расшифровать любые четыре файла семи «разрешенных» форматов — на пробу. К сожалению, на момент проведения анализа эта опция была недоступна. В такой ситуации единственной возможностью расшифровать все бесплатно, как отмечают исследователи, является восстановление из резервных копий. Можно также попытаться использовать специализированные программы, такие как R-Studio, Photorec или Recuva, но надежды на успех при таком выборе немного.

Представленное в качестве миниатюры изображение позаимствовано из публикации на BleepingComputer.com.

Категории: Аналитика, Вредоносные программы, Главное