DanaBot - trojan, który przekształcił się w wirusa ransomware
9 Sierpnia 2019
Według nowych informacji do wirusa dodano dodatkowy moduł ransomware, o nazwie NonRansomware. Eksperci zajmujący się bezpieczeństwem w Internecie, zarejestrowali na początku maja, przypadek wykorzystania modułu przez wirusa.
Schemat działania programu szyfrującego jest następujący: po prostu blokuje i szyfruje wszystkie pliki na komputerze lokalnym, z wyjątkiem plików znajdujących się w bezpośrednim katalogu systemu operacyjnego. Każdy plik jest szyfrowany w osobnym strumieniu przy użyciu algorytmu AES128. Po zaszyfrowaniu wszystkie pliki otrzymują rozszerzenie * .non, a ponadto do każdego folderu jest kopiowany plik z instrukcjami odblokowywania plików howtobackfiles.txt.
Ale to nie wszystko. Oprócz szyfrowania plików wirus zapewnia, że użytkownik nie będzie mógł szybko anulować wszystkich działań i odblokować plików. Aby to zrobić, umieszcza plik wykonywalny o nazwie b.bat w folderze Temp. Po utworzeniu plik jest uruchamiany natychmiast.
Eksperci przeanalizowali, jakie działania wykonuje utworzony plik:
- Wyłącza hibernację, program Windows Defender i programy do zdalnego dostępu
- Umożliwia wyświetlanie ukrytych plików
- Usuwa kosz, usuwa dzienniki i czyści plik pagefile.sys
- Usuwa kopie plików
- Pomija zasady PowerShell
- Wprowadza zakaz uruchamiania narzędzi do odzyskiwania systemu i dysków logicznych
Eksperci zdążyli już zbadać wirusa i napisać program do odzyskiwania danych i odszyfrowywania plików. Jak się okazało, oszuści nie starali się zbyt mocno, ale po prostu skopiowali fragment kodu z otwartych bibliotek DEC (DelphyEncryptionCompendium). Ponadto eksperci znaleźli w źródle pełną instrukcję dotyczącą procesu szyfrowania plików i zapisują, jakie działania należy podjąć, aby odblokować pliki.
Wszystko okazało się dość proste. W kodzie znaleziono fragment wskazujący losową liczbę, która jest kluczem przechowywanym w zaszyfrowanych plikach oraz wygenerowane hasło, które jest tworzone w celu identyfikacji ofiary. Ten identyfikator to zwykły zestaw znaków składający się z numeru seryjnego lokalnego dysku systemowego. Takie hasło można łatwo wybrać przy użyciu brute force, ale w tym celu musisz znać identyfikator ofiary, który można znaleźć w instrukcji odblokowania.
W związku z powyższym jedyne, co musisz zrobić, to uruchomić gotowy plik DecodeFile, do którego musisz wstawić wybrane hasło.
DanaBot - w rzeczywistości jest to wirus modułowy, taki jak trojan napisany w Delphi. Pierwsze wzmianki o nim przyszły z Australii w 2018 roku. W ciągu sześciu miesięcy swojego istnienia wirus rozprzestrzenił się na Europę, a dokładniej na Polskę, Austrię, Niemcy, Włochy. Europejskie firmy zajmujące się bezpieczeństwem w Internecie zauważają, że wirus rozprzestrzenia się szybko i dzięki swojej modułowości może szybko rozszerzyć swoją funkcjonalność. Ponadto prawie każdy może zainicjować uruchomienie tego wirusa, ponieważ rozprzestrzenia się on zgodnie ze schematem MaaS - złośliwe oprogramowanie jako usługa (złośliwe oprogramowanie jako usługa).
Około września ubiegłego roku wirus został zauważony w potężnych atakach na wiele amerykańskich banków: TD Bank, Bank of America, JP Morgan Chase i inni. Oszuści postanowili rozprzestrzeniać złośliwe oprogramowanie za pośrednictwem poczty e-mail, ukrywając się jako usługa eFax, gdzie zostawili link w liście aby pobrać plik wykonywalny.
Kolejnym etapem ewolucji wirusa była poprawa wymiany danych z serwerem w styczniu 2019 r. Atakujący udoskonalili swoje algorytmy i architekturę, dodając szyfrowanie wielostopniowe, co utrudnia wykrywanie go przez programy antywirusowe.
Niektóre szkody, które może poczynić DanaBot już dziś:
- Kradzież loginów i haseł z przeglądarek
- Kradzież portfeli z kryptowalutą
- Zdalna aktualizacja i wykonywanie poleceń na zainfekowanym komputerze
- Nagrywanie wideo z ekranu oraz tworzenie i wysyłanie zrzutów ekranu
- Inicjalizacja i uruchomienie serwera proxy na komputerze ofiary
W związku z powyższym możemy zrozumieć, że mamy do czynienia z dość poważnym wirusem, który ciągle się zmienia i poprawia swoją funkcjonalność. Aby zapobiec infekcji komputera, musisz mieć pełne kompleksowe rozwiązanie antywirusowe, które będzie chronić przed wszelkiego rodzaju zagrożeniami. Radzimy przyjrzeć się bliżej rozwiązaniom McAfee i wybrać opcję, która najbardziej Ci odpowiada.