Vi har tidligere i dag udsendt en "First Strike" advarsel til vores "platinium alert" kunder (for mere information om "Platinum alert henvises tIl: https://www.csis.dk/da/business/pas/). Et udsnit af den advarsel, som vi tidligere har udsendt findes herunder:
Vi ser her til eftermiddag et nyt "CTB-Locker" spamrun, som rammer vilkårlige indbakker:
Den ankommer som en e-mail med en vedhæftet cab-fil som indeholder en .scr fil.
Hvis cab-filen åbnes (som faktisk er en zip), og den uønskede kode køres, af en uforsigtig modtager, så krypteres indhold på harddisken og samtlige delte drev ved brug af en kraftig krypteringsnøgle.
CSIS har blokeret alle domæner i CSIS Secure DNS, som denne malware anvender i sin kommunikation, og som den bruger til at binde kidnappede maskiner ind i dens BOTnet.
Et skærmdump af den uønskede e-mail findes herunder: 
Hvis den vedhæftede fil åbnes, vil koden kopiere sig til den lokale harddisk. Filerne kopieres dernæst til den aktive brugerkonto (kernel userland) og den temporære mappe som dels en [vilkårligt filnavn.rft] og [vilkårligt filnavn.exe]. Den binære fil er en kopi af den skadelige kode, mens rtf-filen er en "decoy" som skal forvirre brugeren til at tro at intet er sket. Det sker ved at åbne dokumentet i WordPad eller Word (afhængig af hvilke indstillinger som er angivet til at håndtere rtf filer):
Inden koden optager/igangsætter dens skadelige funktionalitet, hvor den påbegynder krypteringen af tilgængelie data, gør den brug af en "sleep" funktion. Denne er identisk med Cryptowall: "Thread delayed: delay time: -300000" (ca. 3 minutter).
I næste fase igangsættes selve krypteringen af data og følgende "vejledning" til at befri data kopieres til samtlige mapper, hvor data er blevet kidnappet:
Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.
Open http://w7yue5dc5amppggs.onion.cab or http://w7yue5dc5amppggs.tor2web.org
in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://w7yue5dc5amppggs.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints.
YOPLXBG-[fjernet af CSIS]-JITHH75-3WTMQ3J-FSQHUAL-6DTGEM6-FTWFJSQ-UVEKYHF
FS6OJJS-[fjernet af CSIS]-YQZDOMZ-D7XVC2Q-MWP3ZB3-NB4EXTU-GAM4HSG-GRJENDN
ST4GXUX-[fjernet af CSIS]-ZSPJUPX-WIHEGMR-ERKGTDE-EPZKPX3-TNIKWV3-Q73X2OI
Follow the instructions on the server.
Det samme budskab droppes også som bmp filer med filnavnet: "Decrypt-All-Files-[filnavn].bmp
Og som grande finale afsluttes med en advarselskærm som gengivet herunder:
Koden injekter sig i flere legitime processer, herunder svchost.exe og forbinder sig til dens C&C servere, hvor den afleverer oplysninger om det inficerede system. Som tidligere nævnt beskytter CSIS imod dette ved at blokere for domænerne i CSIS Secure DNS og Heimdal Pro/corporate.
Antivirus detektion giver i skrivende stund (1/57):
https://www.virustotal.com/da/file/6a94a4a1e154a240d6803bed560b35f750b9398105e4f69537ba7a7359b27110/analysis/
↧
CSIS Blog: Giv agt: CTB-locker spammes ud
↧