Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: Teslacrypt rammer Danmark

$
0
0

CSIS har observeret en betragtelig stigning i infektioner forårsaget af en ransomware under navnet Teslacrypt. Teslacrypt er en "klon" af Cryptolocker2 og indeholder i grove træk de samme skadelige funktioner/egenskaber. Det er særligt private brugere, små- og mellemstore virksomheder samt offentlige institutioner som er i farezonen.

Den har i de seneste dage ramt flere danske virksomheder, og den fortsætter med at blive spredt via spammails og et vedhæftet zip arkiv som indeholder en .js fil der ved kørsel vil hente Teslacrypt fra flere kompromitterede websider. 

Den uønskede e-mail ankommer med følgende indhold (se skærmdump herunder). 


Ved kørsel, af en uforsigtig modtager, vil det medfølgende obfuskerede javascript forbinde sig til følgende URLs, hvorfra den skadelige hovedkomponent hentes og køres på systemet (saniteret af CSIS):

http://artskorat[.]com/html/images/69.exe?1
http://adopteuncompagnon[.]com/69.exe?1
http://aycenergy[.]com/wp/wp-includes/fonts/69.exe?1
http://46.151.52[.]197/69.exe?1

C&Cs:

--> http://kochstudiomaashof[.]de/media/misc.php
--> http://testadiseno[.]com/img/gal/thumb/misc.php
--> http://diskeeper-asia[.]com/tmp/misc.php
--> http://gjesdalbrass[.]no/media/misc.php
--> http://garrityasphalt[.]com/media/misc.php
--> http://grassitup[.]com/media/misc.php 

I næste fase vil der dannes en privat nøgle som bruges til at kryptere alle data på den lokale maskine samt tilgængelige netværksdrev ved brug af en AES-256-CBC algoritme med "session_priv" som nøgle. 

Koden, som er skrevet i C++ vil dernæst, som tidligere nævnt gennemsøge alle tilgængelige drev og kryptere samtlige filer med følgende filendelse:
.r3d .css .fsh .lvl .p12 .rim .vcf.3fr .csv .gdb .m2 .p7b .rofl .vdf .7z .d3dbsp .gho .m3u .p7c .rtf .vfs0 .accdb .das .hkdb .m4a .pak .rw2 .vpk .ai .dazip .hkx .map .pdd .rwl .vpp_pc .apk .db0 .hplg .mcmeta .pdf .sav .vtf .arch00 .dba .hvpl .mdb .pef .sb .w3x .arw .dbf .ibank .mdbackup .pem .sid .wb2 .asset .dcr .icxs .mddata .pfx .sidd .wma .avi .der .indd .mdf .pkpass .sidn .wmo .bar .desc .itdb .mef .png .sie .wmv .bay .dmp .itl .menu .ppt .sis .wotreplay .bc6 .dng .itm .mlx .pptm .slm .wpd .bc7 .doc .iwd .mov .pptx .snx .wps .big .docm .iwi .mp4 .psd .sql .x3f .bik .docx .jpe .mpqge .psk .sr2 .xf .bkf .dwg .jpeg .mrwref .pst .srf .xlk .bkp .dxg .jpg .ncf .ptx .srw .xls .blob .epk .js .nrw .py .sum .xlsb .bsa .eps .kdb .ntl .qdf .svg .xlsm .cas .erf .kdc .odb .qic .syncdb .xlsx .cdr .esm .kf .odc .raf .t12 .xxx .cer .ff .layout .odm .rar .t13 .zip .cfr .flv .lbf .odp .raw .tax .ztmp .cr2 .forge .litemod .ods .rb .tor .crt .fos .lrf .odt .re4 .txt .crw .fpk .ltx .orf .rgss3a .upk. Alle filerne omdøbes til .vvv eller .zzz og tilføjes et "blob" i headeren.

Som payload slettes den lokale shadow copy og følgende filer kopieres til alle mapper:

Howto_Restore_FILES.BMP
Howto_Restore_FILES.TXT *
how_recover+mln.html

Disse filer indeholder instruktioner om hvordan man ved betaling af Bitcoins kan opnå adgang til de krypterede data. Se skærmdump herunder.


Vi har naturligvis allerede blokeret for samtlige domæner i CSIS Secure DNS, ligesom vi har oprettet filtre der forhindrer inficerede maskiner i at forbinde sig til C&C serveren. Vores DNS blokkering forhindrer maskinen i at danne den private nøgle og vil derved forhindre selve krypteringen af data. Heimdal PRO og corporate kunder er også beskyttet mod denne trussel.

I denne kampagne skal løsesummen betales med Bitcoins via TOR og mere specifikt følgende links (saniteret af CSIS):

https://o7zeip6us33igmgw[.]onion.to
http://vrd463xcepsd12cd[.]crsoftware745.com
http://vr6g2curb2kcidou[.]expay34.com
http://tsbfdsv.extr6mchf[.]com/4CD6FA41D7BD8DA3

Vi fraråder, at man betaler løsesummen. Løsningen er at sikre sin perimeter og endpoints samt tilsikre, at en brugbar og funktionel backup strategi er på plads.

Vi har tidligere delt gode råd omkring ransomware og hvordan man bedst beskytter sig. Se tidligere platinum alerts for yderligere information, ligesom vi også tidligere har analyseret Teslacrypt.

Antivirus detektion er desværre lav:
https://www.virustotal.com/en/file/d8d14223267f5378f65bed1d5a0aa914a001c4d0aaebb7ff3b92a11e2ec3c7d5/analysis/1449666957/


Viewing all articles
Browse latest Browse all 247

Trending Articles


Kan ketoner og aldehyder lave hydrogenbindinger?


DIY - Hæklet bil og flyvemaskine


Sælges: Luxman T112 (Tuner)


Sælges: Delperion Sinope (Højttalere)


Sælges: Reson Domo (HiFi Møbel)


Sælges: Dantax Utopia 5 (Højttalere)


Sælges: T+a Ph-G10 (RIAA)


Sælges: Ansuz acoustics jumperz diamond (Kabler)


Eneru (Onepiece)


STOR FRIFORM SKÅL OLE KORTZAU ROYAL COPENHAGEN nr. 5794