Новый криптоблокер, привлекший внимание BleepingComputer.com, был впервые обнаружен в минувшем октябре в Болгарии и Греции. Как показало исследование, раздается он, по всей видимости, посредством подбора пароля и атакует Windows-компьютеры, на которых запущена служба терминальных подключений (Remote Desktop/Terminal Services). Вымогатель использует криптоалгоритмы AES и RSA и тщательно заметает свои следы в системе. Примечательно, что он пока не удаляет теневые копии файлов, подвергнутых шифрованию, оставляя жертве шанс на восстановление информации.

Анализ показал, что при активации блокер LowLevel04 (названный так из-за дополнительной строки, оставляемой во всех зашифрованных файлах) генерирует ключи и приступает к процессу шифрования информационных файлов, используя внушительный список расширений. При этом сканирование ведется по всем подключенным дискам, в том числе сменным и сетевым; зашифрованные файлы выгружаются во временную папку злоумышленников подключением диска через клиент терминальных подключений.

Найдя файл с заданным расширением, LowLevel04 шифрует содержимое AES-ключом и добавляет oorr. к началу оригинального имени. В процессе модификации файл воссоздается таким образом, чтобы его было удобно расшифровывать; итоговый формат имеет несколько информационных слоев: зашифрованный оригинальный контент, размер оригинального файла, зашифрованный по RSA ключ шифрования, размер ключа и строка lowlevel04, идентифицирующая данного блокера.

В каждую папку, содержащую зашифрованные файлы, зловред добавляет файл с именем help recover files.txt, в котором содержатся требование выкупа и инструкция по разблокировке. Вымогатели сообщают жертве, что файлы зашифрованы криптостойким ключом RSA-2048, и требуют 4 биткойна (примерно $1 тыс.) за расшифровку, предлагая также контактные адреса @gmail.com и @india.com для бесплатной пробы.

«У многих жертв зараженными оказались серверы, что неудивительно: такая атака способна серьезно нарушить рабочие процессы компании», — констатирует Лоуренс Абрамс (Lawrence Abrams), основатель и главред BleepingComputer.com.

По завершении шифрования LowLevel04 вычищает и удаляет все созданные им файлы. Он также стирает все связанные с его работой записи о событиях в журналах приложений, систем защиты и самой Windows.

Единственной утешительной новостью является тот факт, что подвергнутый анализу образец неправильно удаляет оригинальные файлы и их можно восстановить с помощью специального инструмента. Он также не удаляет теневые копии, и файлы можно попробовать вернуть штатными средствами Windows. Однако вполне возможно, что новый криптоблокер просто проходит обкатку и в дальнейшем это упущение будет исправлено.

Категории: Аналитика, Вредоносные программы