(UA-52983230-2) | [WMT-95212] | LOVER's project: {"https://blog.avast.com/2014/08/27/self-propagating-ransomware-written-in-windows-batch-hits-russian-speaking-countries/"} 'Par Wâmuffïn-R Thierry Arnaud TAREAU") Le Père!...

(UA-52983230-2) | [WMT-95212] | LOVER's project: {"https://blog.avast.com/2014/08/27/self-propagating-ransomware-written-in-windows-batch-hits-russian-speaking-countries/"} 'Par Wâmuffïn-R Thierry Arnaud TAREAU") Le Père!...
++++++++++++++++++++++++++
Suivez nous sur G+
{"https://plus.google.com/113211450036905020300/posts/fCdPSGdUzT7"}
++++++++++++++++++++++++++
Raphaël Tareau
aujourd'hui à 4:32
{"https://blog.avast.com/2014/08/27/self-propagating-ra.."} MAISON
NOTRE SITE INTERNET
Anglais

Accueil > analyses , Virus Lab > ransomware auto-propagation écrite dans Windows lot frappe les pays russophones
Protéger plus de 200 millions de PC, Mac, et Mobiles - plus que n'importe quel autre antivirus

JAROMIR HOREJSI
27th Août, 2014
S'autopropage ransomware écrite dans Windows lot frappe les pays russophones
Laisser un commentaire Allez aux commentaires
Ransomware vole adresses e-mail et mot de passe; se propage à des contacts.
Récemment, un grand nombre d'utilisateurs dans les pays russophones reçu des courriels similaires au message ci-dessous. Il dit que certains changements dans un «accord» ont été faites et la victime a besoin de les vérifier avant de signer le document.

Le message a un fichier zip dans une pièce jointe, qui contient un téléchargeur Javascript . La pièce jointe contient un téléchargeur simple qui télécharge plusieurs fichiers% TEMP% et exécute l'un d'eux. Ces fichiers ont .btc attachement, mais ils sont des fichiers exécutables réguliers.

coherence.btc est GetMail v1.33 spoolsv.btc est Blat v3.2.1 lsass.btc est Email Extractor v1.21 null.btc est exécutable gpg day.btc est iconv.dll, bibliothèque nécessaires à l'exécution exécutable gpg tobi.btc est Browser Dump de passe v2.5 sad.btc est sdelete de Sysinternals paybtc.bat est un Windows longue fichier batch qui démarre le processus malveillant lui-même et sa réplication

Après avoir téléchargé tous les outils disponibles, il ouvre un document avec le document censé examiner et signer. Toutefois, le document contient des caractères non-sens et un message en anglais qui dit: "Ce document a été créé en version plus récente de Microsoft Word".

Alors que l'utilisateur regarde le document affiché ci-dessus, la paybtc.bat charge utile est déjà en cours d'exécution en arrière-plan et l'exécution des opérations malveillantes suivantes:

La charge utile utilise gpg exécutable pour générer une nouvelle paire de clés publiques et privées sur la base de genky.btc paramètres. Cette opération crée plusieurs fichiers. Les plus intéressants sont pubring.gpg et secring.gpg .

Il importe ensuite d'une clé publique en dur dans le paybtc.bat fichier. Cette clé est appelée HckTeam . secring.gpg est chiffrée avec la clé publique en dur, puis renommé KEY.PRIVATE . Tous les restes de la secring.gpg sont supprimés en toute sécurité avec sdelete . Si quelqu'un veut obtenir l'original secring.gpg clé, il / elle doit posséder la clé privée correspondante ( HckTeam ). Toutefois, cette clé n'est connue que les attaquants.

Après cela, le ransomware balaye par tous les lecteurs et crypte tous les fichiers avec certaines extensions. La clé de chiffrement est une clé publique préalablement généré nommé cryptpay . Les extensions de fichiers souhaités sont * .xls * .xlsx * doc * .docx * .xlsm * .cdr * .slddrw * .dwg * ​​Ai * .svg * .mdb * .1cd * PDF * .accdb * zip * .rar * .max * .cd * jpg . Après le cryptage, les fichiers sont ajoutés à l'extension " paycrypt@gmail.com ". Pour déchiffrer ces fichiers à leur état ​​d'origine, il est nécessaire de connaître la cryptpay clé privée, cependant, cette clé a été chiffrée avec la HckTeam clé publique. Seul le propriétaire de la HckTeam clé privée peut déchiffrer.

Après le succès de cryptage, le ransomware crée plusieurs copies (dans des répertoires racine, etc) du fichier de texte avec un message de rançon. Les assaillants demande à la victime de payer 140 euros. Ils fournissent une adresse e-mail de contact ( paycrypt@gmail.com ) et demande à la victime d'envoyer deux fichiers, UNIQUE.PRIVATE et KEY.PRIVATE .

Une liste des chemins de tous les fichiers cryptés sont stockées dans UNIQUE.BASE fichier. A partir de ce fichier, les chemins sans pistes intéressantes sont supprimés (ces chemins sont les suivants: fenêtres température recyclage programme appdata itinérance temporaire Internet COM_ Intel communes Ressources ).
Ce fichier est crypté avec la cryptpay clé publique et stocké dans UNIQUE.PRIVATE . Pour décrypter ce fichier, les attaquants ont besoin de la clé privée cryptpay, qui a déjà été chiffré avec HckTeam clé publique. Cela signifie que seul le propriétaire de la HckTeam clé privée peut déchiffrer UNIQUE.PRIVATE .

Lorsque nous affichons une liste de toutes les clés disponibles ( touches -list paramètres) dans notre environnement de test, nous pouvons voir deux clés publiques; l'un d'eux est codé en dur dans paybtc.bat fichier ( HckTeam ), le second est récemment généré et unique pour un ordinateur particulier ( de cryptpay ).

Puis Browser passe Dump (renommé ttl.exe ) est exécutée. Les mots de passe de sites Web volés sont stockés dans ttl.pwd fichier.

Le ttl.pwd fichier est alors envoyé à l'attaquant avec l'adresse e-mail et mot de passe codé en dur dans le fichier de chauve-souris.

Ensuite, le ttl.pwd est traité. Les recherches ransomware pour les mots de passe stockés aux fournisseurs de services de courriel russes connus. Ces sites comprennent auth.mail.ru , mail.ru , e.mail.ru , passport.yandex.ru , yandex.ru , mail.yandex.ru . Quand une combinaison utilisateur / mot de passe est trouvé, il est stocké pour un usage futur.

Le GetMail programme est utilisé plus tard pour lire des emails à partir d'un compte d'utilisateur et les contacts d'extraction. Le ransomware va se répandre à ces contacts.

Avec les mots de passe volés, le virus s'exécute alors coherence.exe (rebaptisé GetMail utilitaire), qui est un utilitaire pour récupérer les e-mails via POP3. Le virus ne connaît que le nom d'utilisateur et mot de passe, pas le domaine, donc il faut quelques essais pour bruteforcer tous les grands fournisseurs de messagerie pour trouver la seule pièce manquante de l'information. Si un email est téléchargé tandis que bruteforcing, elle confirme deux choses: 1 Le domaine utilise la victime, et 2 le fait que les travaux de mot de passe. Puis le virus télécharge les 100 derniers emails, extraits "de" adresses e-mail et exécute une commande simple pour filtrer les adresses spécifiques, comme les e-mails automatiques.

Ensuite, dix variantes de courriel sont créés, chacun avec un lien personnalisé.

Les liens pointent tous vers des fichiers différents, mais après la décompression on obtient le téléchargeur JavaScript origine.

Le virus a maintenant un faux courriel avec un lien malveillant, traite de l'envoyer à, et l'adresse e-mail et mot de passe de l'expéditeur. En d'autres termes, tout ce dont il a besoin pour se propager.

La propagation est réalisée en utilisant le programme Blat rebaptisé spoolsv.btc . La dernière étape du virus est de supprimer tous les fichiers temporaires - rien ne sera jamais être à nouveau nécessaire.

Conclusion:
Dans le passé, nous avons régulièrement nos mains dans le cambouis avec ransomware qui était généralement un exécutable très obscurci. Ce cas est tout à fait différent. Il était intéressant, principalement parce qu'il a été écrit uniquement dans un fichier de commandes et s'est appuyée sur de nombreux open source et / ou disponibles gratuitement utilitaires tiers. En outre, l'auto-réplication via e-mails était quelque chose que nous ne voyons pas souvent.

avast! produits de sécurité détectent cette ransomware et de protéger nos utilisateurs contre elle. Assurez-vous que vos amis et votre famille sont également protégés. Télécharger avast! Antivirus gratuit maintenant.

SHA et avast détections:
Javascript téléchargeur (JS: Downloader-COB)

ee928c934d7e5db0f11996b17617851bf80f1e72dbe24cc6ec6058d82191174b

BAT ransomware (BV: Ransom-E [Trj])

fa54ec3c32f3fb3ea9b986e0cfd2c34f8d1992e55a317a2c15a7c4e1e8ca7bc4

Remerciements:
Cette analyse a été réalisée conjointement par Jaromir Horejsi et Honza Zika.

Merci d'utiliser avast! Antivirus et nous recommander à vos amis et famille. Pour toutes les dernières nouvelles, concours amusant et informations, s'il vous plaît suivez-nous sur Facebook , Twitter et Google+ . Les propriétaires d'entreprise - Découvrez nos produits d'entreprise .

Catégories: analyses , Virus Lab Mots-clefs: analyse , les fichiers de traitement par lots , de piratage , ransomware , laboratoire de virus

Les écoles des États-Unis donnent un F 2014-15 budget informatique
RSS feed
Tag Cloud
analyse android Antivol antivirus AV-Comparatives avast avast! Mobile Security AVAST employés communications communauté concours fidélisation de la clientèle éducation facebook fraude antivirus gratuit gratuit pour l'éducation google pirates piratage histoire identité vol entretiens logiciels malveillants de marketing Microsoft Mobile Security mots de passe phishing vie privée ransomware escroqueries sécurité Smartphone médias sociaux logiciels de spam stratégie symantec trojan twitter virus Virus Bulletin laboratoire de virus VPN
Tweets

Catégories
Coin Android
Le coin des PDG
Service à la clientèle
Éducation
Général
Comment
Mac
Commercialisation
Revendeurs
SMB / entreprise
Médias sociaux
Technologie
Non classé
Virus Lab
Virus Update Report
Blogroll
AVAST sur Facebook
AVAST sur YouTube
Mobile Antivirus
Centre d'assistance
forum de soutien
www.avast.com
Archives
Août 2014
Juillet 2014
Juin 2014
Mai 2014
Avril 2014
Mars 2014
Février 2014
Janvier 2014
Décembre 2013
Novembre 2013
Octobre 2013
Septembre 2013
Août 2013
Juillet 2013
Juin 2013
Mai 2013
Avril 2013
Mars 2013
Février 2013
Janvier 2013
Décembre 2012
Novembre 2012
Octobre 2012
Septembre 2012
Août 2012
Juillet 2012
Juin 2012
Mai 2012
Avril 2012
Mars 2012
Février 2012
Janvier 2012
Décembre 2011
Novembre 2011
Octobre 2011
Septembre 2011
Août 2011
Juillet 2011
Juin 2011
Mai 2011
Avril 2011
Mars 2011
Février 2011
Janvier 2011
Décembre 2010
Novembre 2010
Octobre 2010
Septembre 2010
Août 2010
Juillet 2010
Juin 2010
Mai 2010
Avril 2010
Mars 2010
Février 2010
Janvier 2010
Décembre 2009
Novembre 2009
Octobre 2009
Septembre 2009
Août 2009
Juillet 2009
Juin 2009
Mai 2009
retourner à avast! appui forum
avast! sur Twitter avast! sur Facebook
avast! logiciel antivirus représente une protection antivirus complète, offrant une sécurité de bureau complet, y compris un bouclier résident. Mises à jour automatiques quotidiennes assurent une protection continue des données contre tous les types de logiciels malveillants et les logiciels espions. avast! produits antivirus sont disponibles en téléchargement pour une période d'essai gratuite de 30 jours.
Copyright © 1988 - 2011 AVAST Software as

J'aimePartager
Modifier
Fixer
Effacer
1 commentaire

Raphaël Tareau
Sur G+{"https://plus.google.com/113211450036905020300/posts/f.."}
Aujourd'hui à 4:42
J'aime - Répondre

Page principale Version de bureau Se déconnecter
App Android »

{"http://m.vk.com/wall257935122_221"}

(UA-52983230-2) [WMT-95212] | LOVER's project: 'Par Wâmuffïn-R Thierry Arnaud TAREAU") Le Père