CSIS har observeret en betragtelig stigning i infektioner forårsaget af en ransomware under navnet Teslacrypt. Teslacrypt er en "klon" af Cryptolocker2 og indeholder i grove træk de samme skadelige funktioner/egenskaber. Det er særligt private brugere, små- og mellemstore virksomheder samt offentlige institutioner som er i farezonen.
Den har i de seneste dage ramt flere danske virksomheder, og den fortsætter med at blive spredt via spammails og et vedhæftet zip arkiv som indeholder en .js fil der ved kørsel vil hente Teslacrypt fra flere kompromitterede websider.
Den uønskede e-mail ankommer med følgende indhold (se skærmdump herunder).
Ved kørsel, af en uforsigtig modtager, vil det medfølgende obfuskerede javascript forbinde sig til følgende URLs, hvorfra den skadelige hovedkomponent hentes og køres på systemet (saniteret af CSIS):
http://artskorat[.]com/html/images/69.exe?1
http://adopteuncompagnon[.]com/69.exe?1
http://aycenergy[.]com/wp/wp-includes/fonts/69.exe?1
http://46.151.52[.]197/69.exe?1
C&Cs:
--> http://kochstudiomaashof[.]de/media/misc.php
--> http://testadiseno[.]com/img/gal/thumb/misc.php
--> http://diskeeper-asia[.]com/tmp/misc.php
--> http://gjesdalbrass[.]no/media/misc.php
--> http://garrityasphalt[.]com/media/misc.php
--> http://grassitup[.]com/media/misc.php
I næste fase vil der dannes en privat nøgle som bruges til at kryptere alle data på den lokale maskine samt tilgængelige netværksdrev ved brug af en AES-256-CBC algoritme med "session_priv" som nøgle.
Koden, som er skrevet i C++ vil dernæst, som tidligere nævnt gennemsøge alle tilgængelige drev og kryptere samtlige filer med følgende filendelse:
.r3d .css .fsh .lvl .p12 .rim .vcf.3fr .csv .gdb .m2 .p7b .rofl .vdf .7z .d3dbsp .gho .m3u .p7c .rtf .vfs0 .accdb .das .hkdb .m4a .pak .rw2 .vpk .ai .dazip .hkx .map .pdd .rwl .vpp_pc .apk .db0 .hplg .mcmeta .pdf .sav .vtf .arch00 .dba .hvpl .mdb .pef .sb .w3x .arw .dbf .ibank .mdbackup .pem .sid .wb2 .asset .dcr .icxs .mddata .pfx .sidd .wma .avi .der .indd .mdf .pkpass .sidn .wmo .bar .desc .itdb .mef .png .sie .wmv .bay .dmp .itl .menu .ppt .sis .wotreplay .bc6 .dng .itm .mlx .pptm .slm .wpd .bc7 .doc .iwd .mov .pptx .snx .wps .big .docm .iwi .mp4 .psd .sql .x3f .bik .docx .jpe .mpqge .psk .sr2 .xf .bkf .dwg .jpeg .mrwref .pst .srf .xlk .bkp .dxg .jpg .ncf .ptx .srw .xls .blob .epk .js .nrw .py .sum .xlsb .bsa .eps .kdb .ntl .qdf .svg .xlsm .cas .erf .kdc .odb .qic .syncdb .xlsx .cdr .esm .kf .odc .raf .t12 .xxx .cer .ff .layout .odm .rar .t13 .zip .cfr .flv .lbf .odp .raw .tax .ztmp .cr2 .forge .litemod .ods .rb .tor .crt .fos .lrf .odt .re4 .txt .crw .fpk .ltx .orf .rgss3a .upk. Alle filerne omdøbes til .vvv eller .zzz og tilføjes et "blob" i headeren.
Som payload slettes den lokale shadow copy og følgende filer kopieres til alle mapper:
Howto_Restore_FILES.BMP
Howto_Restore_FILES.TXT *
how_recover+mln.html
Disse filer indeholder instruktioner om hvordan man ved betaling af Bitcoins kan opnå adgang til de krypterede data. Se skærmdump herunder.
Vi har naturligvis allerede blokeret for samtlige domæner i CSIS Secure DNS, ligesom vi har oprettet filtre der forhindrer inficerede maskiner i at forbinde sig til C&C serveren. Vores DNS blokkering forhindrer maskinen i at danne den private nøgle og vil derved forhindre selve krypteringen af data. Heimdal PRO og corporate kunder er også beskyttet mod denne trussel.
I denne kampagne skal løsesummen betales med Bitcoins via TOR og mere specifikt følgende links (saniteret af CSIS):
https://o7zeip6us33igmgw[.]onion.to
http://vrd463xcepsd12cd[.]crsoftware745.com
http://vr6g2curb2kcidou[.]expay34.com
http://tsbfdsv.extr6mchf[.]com/4CD6FA41D7BD8DA3
Vi fraråder, at man betaler løsesummen. Løsningen er at sikre sin perimeter og endpoints samt tilsikre, at en brugbar og funktionel backup strategi er på plads.
Vi har tidligere delt gode råd omkring ransomware og hvordan man bedst beskytter sig. Se tidligere platinum alerts for yderligere information, ligesom vi også tidligere har analyseret Teslacrypt.
Antivirus detektion er desværre lav:
https://www.virustotal.com/en/file/d8d14223267f5378f65bed1d5a0aa914a001c4d0aaebb7ff3b92a11e2ec3c7d5/analysis/1449666957/
↧
CSIS Nyheder: Teslacrypt rammer Danmark
↧