Nemucod се завръща по-опасен от всякога

Next story

Средата на 2016 г. – но вече спокойно можем да я определим като годината на криптовирусите. Зловредните кодове, които криптират или спират достъпа до информацията на компютри, смартфони и таблети, търпят непрестанно развитие – и стават все по-опасни. Nemucod е живото доказателство за това. През март ти разказахме за първи път за този виурс. Тогава заразата с него ставаше чрез получаване на мейл, съдържащ имитации на фактури, снимки, договори и т.н. Свалянето и активирането на прикачения файл води до криптиране на данните на компютъра, след което кибер-престъпниците изискват откуп за отключването им.В пристъп на паника и притеснение, че ще се разделят с ценни файлове, жертвите бързо се решават да платят откупа. Стъпка, която ако предприемеш, не гарантира, че достъпът до данните ти ще бъде възстановен. Превеждайки исканата сума на кибер-престъпниците е възможно дори да задълбочи проблема. Видят ли, че си платежоспособен, вероятността да те атакуват отново, нараства многократно.Именно платените подкупи са насърчили измамниците да направят подобрения по Nemucod. Сега той е още по-опасен и атакува устройството по различен начин:

Стъпка 1. Подсигуряване на връзка

Създателите на Nemucod са се погрижили да елиминират една от основните пречки, възпрепятстваща свалянето на криптовируса - Интернет връзката. В новия си вариант зловредният код залага на няколко опции, за да установи такава с командния си сървър. Опитите за свързване се изпълняват, докато не бъде намерен работещ метод.

Стъпка 2. Повече от един сайт за сваляне

Абсолютно същата схема, както с подсигуряването на връзка, е приложена и тук. Ако до момента криптовирусът е бил теглен от един сайт, то занапред възможностите се увеличават – т.е. добавени са нещо като mirror сървъри, от които да се сваля зловредния код. И, ако достъпът до основния сървър е блокиран, веднага може да се пробва със следващ онлайн адрес.

Стъпка 3. Първи етап на заобикаляне на защитните механизми

Ако доскоро сваляният изпълним файл е бил .exe, на този етап той е с различно разширение. Причината е съвсем проста – да заблуди инструментите за филтриране на заплахите. Зловредният код първоначално се сваля в %TEMP% директорията.След свалянето на маскирания файл следва първата стъпка на камуфлажиране – конвертиране на използваните знаци в техните десетични стойности. Ако има знак, чиято десетичната стойност надвишава 127, кодът използва масив с предварително здадани знаци. В противен случай символът остава непроменен.

Стъпка 4. Втори етап на заобикаляне на защитните механизми

Вторият етап на камуфлажиране включва три фази на допълнително модифициране:

  • Премахване на последните 4 символа от съдържанието на файла;
  • Извършване на XOR операция на всяка буква “s” (0x73);
  • Обръща подредбата на съдържанието на файла.

Стъпка 5. Проверка на валидността на файла

Извършва се проста проверка, която трябва да удостовери, че големината на файла е между 174,080 и 189,440 байта и започва със символите „MZ“ (0x4D5A). Ако данните не отговарят, се задейства отново стъпка 2, при която файлът се сваля от друг сайт.

Стъпка 6. Записване

При успешно преминаване на проверките, файлът успешна се запазва в %TEMP% директорията.По време на тази процедура се извършва още една замяна на символи, подобна на тази от стъпка 3. Промените вероятно се извършват, за да няма символи, по-големи от 8 бита. Финализирането на процеса включва превръщането на десетичните стойности в прилежащите им символи. Така файлът е трансформиран в изпълнимо .exe.

Стъпка 7. Изпълнение

Заразата става реалност, когато новата версия на Nemucod създава „.bat“ файл, чиято цел е да страна активира „.exe“ файла. И зловредният код активира този .bat файл.Ако всичко е минало по план, устройството на потребителя става подвластно на заразата. Информацията на него е криптирана – а на екрана се изписва съобщение за откуп, обикновено в биткойни като валута. Потребителите на ESET са защитени от подобни заплахи, когато е активирана ESET LiveGrid® Reputation System. Тази технология активно предпазва устройствата на потребителите, блокирайки действията на ransomware вирусите. Повече за защитата от криптовируси може да научиш тук.