Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Blog: Cryptowall i ny spamkampagne

$
0
0

Flere danske kommuner blev i denne uge ramt af Cryptowall, som er et stykke væmmeligt kidnapningssoftware (ransomware) der systematisk gennemsøger alle datafiler (dokumenter, billeder, databaser m.v.) lokalt og på alle tilgængelige fællesdrev/shares, og krypterer disse med en unik nøgle baseret på algoritmen RSA2048.

Allerede i går eftermiddag advarede CSIS så igen vores kunder om at en ny spamkampagne er skudt i gang.

Den nye kampagne startede kl. 16.10 i går (torsdag) og ankommer med et letgenkendeligt indhold (se skærmdump herunder)
.
Den medfølgende zip fil, som indeholder en binær fil, vil ved kørsel kopiere sig til harddisken i mappen: 
"[%brugerprofil%]Application Data[vilkårligt filnavn].exe" samt en sekundær kode som kopieres ind i startmappen.


Filnavn: VOICE8419-283-481.scr
MD5:  5dd9b1d1fa4f48d440b19b6be04de03d
Størrelse: 311.296KB

I næste fase kontaktes en stribe domæner, som allerede er blokeret i CSIS Secure DNS og Heimdal PRO/Corporate, hvor den laver et post request som vist herunder:

[domæne]:8585/5x0mi[fjernet af CSIS]

I kommunikationen med C&C serveren anvendes følgende API'er:

HttpSendRequestExA.WININET
InternetWriteFile.WININET
HttpEndRequestA.WININET

Når nøglen er genereret fra C&C serveren, så kopieres følgende fil til samtlige tilgængelige drev "HELP_DECRYPT.HTML" mens kryptering af datafiler igangsættes. Det sker ved at den injektes i svchost.exe processen på værtsmaskinen. Processen sættes i dvale i 3 minutter via sleep kaldet "Thread delayed: delay time: -900000".

En stribe andre interessante funktioner omfatter bl.a.:

- Sletter windows event logs 
- Fjerner applikationsfejl via SetErrorMode
- Lytter på vilkårlig TCP port formentlig med bagdørsfunktionalitet

Den pågældende krypteringsnøgle skabes på baggrund af data der indsamles fra den kompromitterede maskine baseret på henholdsvis:

- timeGetSystemTime
- cpuid 
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptography MachineGui
- C: VolumeInformation

Cryptowall binder maskinen ind i et BOTnet, som registrerer infektionen og danner en unik krypteringsnøgle der anvendes til at kryptere data på maskinen og alle tilgængelige delte drev/mapper. 

Krypteringen er så kraftig, at reetablering af data stort set er umulig. Af samme grund opfordrer vi indtrængende alle til at sikre, at der er forsvarlig backup og incident response procedurer på plads.

Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager, kan føre til alvorlige og uoprettelige skader såfremt der ikke er etableret en backup procedure.

Antivirus detektion giver (4 / 57):

CMC     Trojan.Win32.Krap.2!O     20150120
Kaspersky     UDS:DangerousObject.Multi.Generic     20150122
Sophos     Mal/Generic-S     20150122
Tencent     Win32.Trojan.Inject.Auto     20150122
ALYac         20150122
AVG         20150122
AVware         20150122
Ad-Aware         20150122
AegisLab         20150122
Agnitum         20150122
AhnLab-V3         20150122
Alibaba         20150120
Antiy-AVL         20150122
Avast         20150122
Avira         20150122
Baidu-International         20150122
BitDefender         20150122
Bkav         20150122
ByteHero         20150122
CAT-QuickHeal         20150122
ClamAV         20150122
Comodo         20150122
Cyren         20150122
DrWeb         20150122
ESET-NOD32         20150122
Emsisoft         20150122
F-Prot         20150122
F-Secure         20150122
Fortinet         20150121
GData         20150122
Ikarus         20150122
Jiangmin         20150121
K7AntiVirus         20150122
K7GW         20150122
Kingsoft         20150122
Malwarebytes         20150122
McAfee         20150122
McAfee-GW-Edition         20150122
MicroWorld-eScan         20150122
Microsoft         20150122
NANO-Antivirus         20150122
Norman         20150122
Panda         20150122
Qihoo-360         20150122
Rising         20150121
SUPERAntiSpyware         20150122
Symantec         20150122
TheHacker         20150121
TotalDefense         20150122
TrendMicro         20150122
TrendMicro-HouseCall         20150122
VBA32         20150122
VIPRE         20150122
ViRobot         20150122
Zillya         20150121
Zoner         20150121
nProtect         20150122

Yderligere oplysninger om Cryptowall:
http://www.csis.dk/da/csis/blog/4576/


Viewing all articles
Browse latest Browse all 247

Trending Articles


Grand galla med gull og glitter


Psykiater Tonny Westergaard


Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa


Moriya Suwako (Touhou)


BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.


Naruto Shippuden Episode 471 Subtitle Indonesia


Fin gl. teske i sølv - 2 tårnet - stemplet


Kaffefilterholder fra Knabstrup


Anders Agger i Herstedvester


Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***


Sælges: Coral Beta/Flat (Højttaler-enheder)


Starwars landspeeder 7110


NMB48 – Durian Shounen (Dance Version) [2015.07.15]


Le bonheur | question de l'autre


Scope.dk som agent?


Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)


Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.


Re: KZUBR MIG/MMA 300 zamena tranzistora


Analyse 0 mundtlig eksamen


DIY - Hæklet bil og flyvemaskine