Flere danske kommuner blev i denne uge ramt af Cryptowall, som er et stykke væmmeligt kidnapningssoftware (ransomware) der systematisk gennemsøger alle datafiler (dokumenter, billeder, databaser m.v.) lokalt og på alle tilgængelige fællesdrev/shares, og krypterer disse med en unik nøgle baseret på algoritmen RSA2048.
Allerede i går eftermiddag advarede CSIS så igen vores kunder om at en ny spamkampagne er skudt i gang.
Den nye kampagne startede kl. 16.10 i går (torsdag) og ankommer med et letgenkendeligt indhold (se skærmdump herunder)
.
Den medfølgende zip fil, som indeholder en binær fil, vil ved kørsel kopiere sig til harddisken i mappen:
"[%brugerprofil%]Application Data[vilkårligt filnavn].exe" samt en sekundær kode som kopieres ind i startmappen. 
Filnavn: VOICE8419-283-481.scr
MD5: 5dd9b1d1fa4f48d440b19b6be04de03d
Størrelse: 311.296KB
I næste fase kontaktes en stribe domæner, som allerede er blokeret i CSIS Secure DNS og Heimdal PRO/Corporate, hvor den laver et post request som vist herunder:
[domæne]:8585/5x0mi[fjernet af CSIS]
I kommunikationen med C&C serveren anvendes følgende API'er:
HttpSendRequestExA.WININET
InternetWriteFile.WININET
HttpEndRequestA.WININET
Når nøglen er genereret fra C&C serveren, så kopieres følgende fil til samtlige tilgængelige drev "HELP_DECRYPT.HTML" mens kryptering af datafiler igangsættes. Det sker ved at den injektes i svchost.exe processen på værtsmaskinen. Processen sættes i dvale i 3 minutter via sleep kaldet "Thread delayed: delay time: -900000".
En stribe andre interessante funktioner omfatter bl.a.:
- Sletter windows event logs
- Fjerner applikationsfejl via SetErrorMode
- Lytter på vilkårlig TCP port formentlig med bagdørsfunktionalitet
Den pågældende krypteringsnøgle skabes på baggrund af data der indsamles fra den kompromitterede maskine baseret på henholdsvis:
- timeGetSystemTime
- cpuid
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptography MachineGui
- C: VolumeInformation
Cryptowall binder maskinen ind i et BOTnet, som registrerer infektionen og danner en unik krypteringsnøgle der anvendes til at kryptere data på maskinen og alle tilgængelige delte drev/mapper.
Krypteringen er så kraftig, at reetablering af data stort set er umulig. Af samme grund opfordrer vi indtrængende alle til at sikre, at der er forsvarlig backup og incident response procedurer på plads.
Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager, kan føre til alvorlige og uoprettelige skader såfremt der ikke er etableret en backup procedure.
Antivirus detektion giver (4 / 57):
CMC Trojan.Win32.Krap.2!O 20150120
Kaspersky UDS:DangerousObject.Multi.Generic 20150122
Sophos Mal/Generic-S 20150122
Tencent Win32.Trojan.Inject.Auto 20150122
ALYac 20150122
AVG 20150122
AVware 20150122
Ad-Aware 20150122
AegisLab 20150122
Agnitum 20150122
AhnLab-V3 20150122
Alibaba 20150120
Antiy-AVL 20150122
Avast 20150122
Avira 20150122
Baidu-International 20150122
BitDefender 20150122
Bkav 20150122
ByteHero 20150122
CAT-QuickHeal 20150122
ClamAV 20150122
Comodo 20150122
Cyren 20150122
DrWeb 20150122
ESET-NOD32 20150122
Emsisoft 20150122
F-Prot 20150122
F-Secure 20150122
Fortinet 20150121
GData 20150122
Ikarus 20150122
Jiangmin 20150121
K7AntiVirus 20150122
K7GW 20150122
Kingsoft 20150122
Malwarebytes 20150122
McAfee 20150122
McAfee-GW-Edition 20150122
MicroWorld-eScan 20150122
Microsoft 20150122
NANO-Antivirus 20150122
Norman 20150122
Panda 20150122
Qihoo-360 20150122
Rising 20150121
SUPERAntiSpyware 20150122
Symantec 20150122
TheHacker 20150121
TotalDefense 20150122
TrendMicro 20150122
TrendMicro-HouseCall 20150122
VBA32 20150122
VIPRE 20150122
ViRobot 20150122
Zillya 20150121
Zoner 20150121
nProtect 20150122
Yderligere oplysninger om Cryptowall:
http://www.csis.dk/da/csis/blog/4576/
↧
CSIS Blog: Cryptowall i ny spamkampagne
↧