Благодаря истории блокирования подозрительного поведения вымогательского ПО в инфраструктуре AhnLab ASD, аналитическая группа ASEC выявила распространение Wiki ransomware, которое, как было установлено, является вариантом Crysis ransomware, замаскированным под обычную программу.
Wiki Ransomware
Прежде чем выполнить шифрование, Wiki ransomware копирует себя в %AppData% или %windir%\system32 и проходит процесс повышения успешности заражения путем добавления себя в реестр (HKLM\Software\Microsoft\Windows\CurrentVersion\Run) для регистрации в качестве одной из программ запуска, а также копирования файлов.
Кроме того, он декодирует имена служб и процессов, связанных с базой данных, которые должны быть завершены в памяти, ищет запущенные в данный момент службы и процессы и завершает их.
После этого он создает процесс cmd.exe и выполняет команду pipe, которая настраивает кодовую страницу на кириллицу, а также команду удаления теневых копий тома для предотвращения восстановления после заражения. Кроме того, в случае, когда для удаления теневых копий тома необходимы привилегии администратора, а ransomware не была запущена пользователем с привилегиями администратора, ransomware выводит окно UAC для попытки успешного удаления теневых копий тома.
Во время шифрования файлов ransomware проходит процесс проверки папок и файлов, исключенных из заражения, чтобы пользователи не смогли не заметить заражение из-за системных ошибок.
После завершения проверки целей исключения заражения, заражение происходит на файлы со следующими расширениями файлов:
.1cd;.3ds;.3fr;.3g2;.3gp;.7z;.accda;.accdb;.accdc;.accde;.accdt;
.accdw;.adb;.adp;.ai;.ai3;.ai4;.ai5;.ai6;.ai7;.ai8;.anim;.arw;.as;.asa;.asc;.ascx;.asm;.asmx;.asp;.aspx;.asr;.asx;.avi;.avs;.backup;.bak;.bay;.bd;.bin;.bmp;
.bz2;.c;.cdr;.cer;.cf;.cfc;.cfm;.cfml;.cfu;.chm;.cin;.class;.clx;.config;.cpp;.cr2;.crt;.crw;.cs;.css;.csv;.cub;.dae;.dat;.db;.dbf;.dbx;.dc3;.dcm;.dcr;.der;
.dib;.dic;.dif;.divx;.djvu;.dng;.doc;.docm;.docx;.dot;.dotm;.dotx;.dpx;.dqy;.dsn;.dt;.dtd;.dwg;.dwt;.dx;.dxf;.edml;.efd;.elf;.emf;.emz;.epf;.eps;.epsf;.epsp;
.erf;.exr;.f4v;.fido;.flm;.flv;.frm;.fxg;.geo;.gif;.grs;.gz;.h;.hdr;.hpp;.hta;.htc;.htm;.html;.icb;.ics;.iff;.inc;.indd;.ini;.iqy;.j2c;.j2k;.java;.jp2;.jpc;
.jpe;.jpeg;.jpf;.jpg;.jpx;.js;.jsf;.json;.jsp;.kdc;.kmz;.kwm;.lasso;.lbi;.lgf;.lgp;.log;.m1v;.m4a;.m4v;.max;.md;.mda;.mdb;.mde;.mdf;.mdw;.mef;.mft;.mfw;.mht;
.mhtml;.mka;.mkidx;.mkv;.mos;.mov;.mp3;.mp4;.mpeg;.mpg;.mpv;.mrw;.msg;.mxl;.myd;.myi;.nef;.nrw;.obj;.odb;.odc;.odm;.odp;.ods;.oft;.one;.onepkg;.onetoc2;.opt;
.oqy;.orf;.p12;.p7b;.p7c;.pam;.pbm;.pct;.pcx;.pdd;.pdf;.pdp;.pef;.pem;.pff;.pfm;.pfx;.pgm;.php;.php3;.php4;.php5;.phtml;.pict;.pl;.pls;.pm;.png;.pnm;.pot;.potm;
.potx;.ppa;.ppam;.ppm;.pps;.ppsm;.ppt;.pptm;.pptx;.prn;.ps;.psb;.psd;.pst;.ptx;.pub;.pwm;.pxr;.py;.qt;.r3d;.raf;.rar;.raw;.rdf;.rgbe;.rle;.rqy;.rss;.rtf;.rw2;.rwl;
.safe;.sct;.sdpx;.shtm;.shtml;.slk;.sln;.sql;.sr2;.srf;.srw;.ssi;.st;.stm;.svg;.svgz;.swf;.tab;.tar;.tbb;.tbi;.tbk;.tdi;.tga;.thmx;.tif;.tiff;.tld;.torrent;.tpl;.txt;
.u3d;.udl;.uxdc;.vb;.vbs;.vcs;.vda;.vdr;.vdw;.vdx;.vrp;.vsd;.vss;.vst;.vsw;.vsx;.vtm;.vtml;.vtx;.wb2;.wav;.wbm;.wbmp;.wim;.wmf;.wml;.wmv;.wpd;
.wps;.x3f;.xl;.xla;.xlam;.xlk;.xlm;.xls;.xlsb;.xlsm;.xlsx;.xlt;.xltm;.xltx;.xlw;.xml;.xps;.xsd;.xsf;.xsl;.xslt;.xsn;.xtp;.xtp2;.xyze;.xz;.zip;
После заражения добавляется расширение файла с форматом "[Оригинальное имя файла].id-Unique ID.[bitlocker@foxmail.com].wiki", и выполняется файл info.hta, чтобы сообщить пользователю, что его система заражена программой-выкупом.
Crysis обычно распространяется через RDP, поэтому рекомендуется тщательно проверять среду RDP-соединений. Кроме того, поскольку эта Wiki ransomware распространяется под видом обычной программы, пользователи должны проявлять осторожность при выполнении файлов, загруженных с веб-сайтов или по электронной почте из неизвестных источников, проверять подозрительные файлы антивирусным ПО и обновлять ПО до последней версии. Антивирусная программа АнЛаб, V3, обнаруживает и блокирует вредоносное ПО, использующее следующие псевдонимы:
Indicators of Compromise
MD5
- f09a781eeb97acf68c8c1783e76c29e6
- 3a81e8f22e239c4ced0ddfa50eacdfa4