Zaloguj się
Polska

+48 (22) 390-6242
sales@softlist.pl
Pracujemy w godzinach 8:30 do 16:30
od poniedziałku do piątku

0
0

+48 (22) 390-6242
sales@softlist.pl
Pracujemy w godzinach 8:30 do 16:30
od poniedziałku do piątku

DanaBot - trojan, który przekształcił się w wirusa ransomware
DanaBot - trojan, który przekształcił się w wirusa ransomware

DanaBot - trojan, który przekształcił się w wirusa ransomware

9 Sierpnia 2019

Według nowych informacji do wirusa dodano dodatkowy moduł ransomware, o nazwie NonRansomware. Eksperci zajmujący się bezpieczeństwem w Internecie, zarejestrowali na początku maja, przypadek wykorzystania modułu przez wirusa.

Schemat działania programu szyfrującego jest następujący: po prostu blokuje i szyfruje wszystkie pliki na komputerze lokalnym, z wyjątkiem plików znajdujących się w bezpośrednim katalogu systemu operacyjnego. Każdy plik jest szyfrowany w osobnym strumieniu przy użyciu algorytmu AES128. Po zaszyfrowaniu wszystkie pliki otrzymują rozszerzenie * .non, a ponadto do każdego folderu jest kopiowany plik z instrukcjami odblokowywania plików howtobackfiles.txt.

Ale to nie wszystko. Oprócz szyfrowania plików wirus zapewnia, że ​​użytkownik nie będzie mógł szybko anulować wszystkich działań i odblokować plików. Aby to zrobić, umieszcza plik wykonywalny o nazwie b.bat w folderze Temp. Po utworzeniu plik jest uruchamiany natychmiast.

Eksperci przeanalizowali, jakie działania wykonuje utworzony plik:

  • Wyłącza hibernację, program Windows Defender i programy do zdalnego dostępu
  • Umożliwia wyświetlanie ukrytych plików
  • Usuwa kosz, usuwa dzienniki i czyści plik pagefile.sys
  • Usuwa kopie plików
  • Pomija zasady PowerShell
  • Wprowadza zakaz uruchamiania narzędzi do odzyskiwania systemu i dysków logicznych

Eksperci zdążyli już zbadać wirusa i napisać program do odzyskiwania danych i odszyfrowywania plików. Jak się okazało, oszuści nie starali się zbyt mocno, ale po prostu skopiowali fragment kodu z otwartych bibliotek DEC (DelphyEncryptionCompendium). Ponadto eksperci znaleźli w źródle pełną instrukcję dotyczącą procesu szyfrowania plików i zapisują, jakie działania należy podjąć, aby odblokować pliki.

Wszystko okazało się dość proste. W kodzie znaleziono fragment wskazujący losową liczbę, która jest kluczem przechowywanym w zaszyfrowanych plikach oraz wygenerowane hasło, które jest tworzone w celu identyfikacji ofiary. Ten identyfikator to zwykły zestaw znaków składający się z numeru seryjnego lokalnego dysku systemowego. Takie hasło można łatwo wybrać przy użyciu brute force, ale w tym celu musisz znać identyfikator ofiary, który można znaleźć w instrukcji odblokowania.

W związku z powyższym jedyne, co musisz zrobić, to uruchomić gotowy plik DecodeFile, do którego musisz wstawić wybrane hasło.

DanaBot - w rzeczywistości jest to wirus modułowy, taki jak trojan napisany w Delphi. Pierwsze wzmianki o nim przyszły z Australii w 2018 roku. W ciągu sześciu miesięcy swojego istnienia wirus rozprzestrzenił się na Europę, a dokładniej na Polskę, Austrię, Niemcy, Włochy. Europejskie firmy zajmujące się bezpieczeństwem w Internecie zauważają, że wirus rozprzestrzenia się szybko i dzięki swojej modułowości może szybko rozszerzyć swoją funkcjonalność. Ponadto prawie każdy może zainicjować uruchomienie tego wirusa, ponieważ rozprzestrzenia się on zgodnie ze schematem MaaS - złośliwe oprogramowanie jako usługa (złośliwe oprogramowanie jako usługa).

Około września ubiegłego roku wirus został zauważony w potężnych atakach na wiele amerykańskich banków: TD Bank, Bank of America, JP Morgan Chase i inni. Oszuści postanowili rozprzestrzeniać złośliwe oprogramowanie za pośrednictwem poczty e-mail, ukrywając się jako usługa eFax, gdzie zostawili link w liście aby pobrać plik wykonywalny.

Kolejnym etapem ewolucji wirusa była poprawa wymiany danych z serwerem w styczniu 2019 r. Atakujący udoskonalili swoje algorytmy i architekturę, dodając szyfrowanie wielostopniowe, co utrudnia wykrywanie go przez programy antywirusowe.

Niektóre szkody, które może poczynić DanaBot już dziś:

  • Kradzież loginów i haseł z przeglądarek
  • Kradzież portfeli z kryptowalutą
  • Zdalna aktualizacja i wykonywanie poleceń na zainfekowanym komputerze
  • Nagrywanie wideo z ekranu oraz tworzenie i wysyłanie zrzutów ekranu
  • Inicjalizacja i uruchomienie serwera proxy na komputerze ofiary

W związku z powyższym możemy zrozumieć, że mamy do czynienia z dość poważnym wirusem, który ciągle się zmienia i poprawia swoją funkcjonalność. Aby zapobiec infekcji komputera, musisz mieć pełne kompleksowe rozwiązanie antywirusowe, które będzie chronić przed wszelkiego rodzaju zagrożeniami. Radzimy przyjrzeć się bliżej rozwiązaniom McAfee i wybrać opcję, która najbardziej Ci odpowiada.