Команда аналитиков ASEC обнаружила, что в Корее распространяется программа STOP ransomware. Эта программа-вымогатель распространяется в очень больших объемах и входит в Топ-3 в еженедельной статистике вредоносных программ ASEC.
STOP Ransomware
Распространяемые файлы имеют форму MalPe, как и SmokeLoader и Vidar, а имена файлов содержат случайную 4-байтовую строку, как показано ниже.
1 2 3 4 5 6 7 8 9 | %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe %SystemDrive%\users\[user]\appdata\local\temp\a579.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe |
Когда программа-вымогатель запускается, она сначала подключается к hxxps://api.2ip.ua/geo.json и проверяет код страны. Если код соответствует любой из перечисленных ниже стран, шифрование не выполняется.
Код страны
Если идентифицированный код не входит в приведенный выше список, в папке %LOCALAPPDATA% создается папка с именем [uuid], и исполняемый файл копирует себя в эту папку. После этого скопированному файлу присваивается аргумент -AutoStart и файл добавляется в реестр HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SysHelper.
Также, чтобы скопированный файл нельзя было изменить или удалить, с помощью команды icacls снимаются все разрешения на эту папку и ее вложенные папки.
Команда выполнения: icacls "%LocalAppData%\[uuid]" /deny *S-1-1-0:(OI)(CI)(DE,DC)
После этого, для того чтобы файл ransomware запускался постоянно, задача добавляется в планировщик задач под названием Time Trigger Task. Затем файл, добавленный в планировщик задач, запускается каждые 5 минут с параметром -Task в качестве аргумента.
Кроме того, чтобы программа-вымогатель выполнялась с привилегиями администратора, она запускается через Runas с параметром -Admin IsNotAutoStart IsNotTask.
Программа STOP ransomware подключается к hxxp://fresherlights[.]com/test1/get.php?pid=[MD5 HASH-значение MAC-адреса] и загружает ключевые данные для шифрования файлов. Загруженные данные сохраняются в %LOCALAPPDATA%\bowsakkdestx.txt, а если вышеуказанный URL недоступен, то используются данные внутри ransomware.
Исключения из шифрования
Ниже перечислены файлы, папки и расширения, которые исключаются из шифрования.
- C:\SystemID\
- C:\Users\Default User\
- C:\Users\Public\
- C:\Users\All Users\
- C:\Users\Default\
- C:\Documents and Settings\
- C:\ProgramData\
- C:\Recovery\
- C:\System Volume Information\
- C:\Users\vmuser\AppData\Roaming\
- C:\Users\vmuser\AppData\Local\
- C:\Windows\
- C:\PerfLogs\
- C:\ProgramData\Microsoft\
- C:\ProgramData\Package Cache\
- C:\Users\Public\
- C:\$Recycle.Bin\
- C:\$WINDOWS.~BT\
- C:\dell\
- C:\Intel\
- C:\MSOCache\
- C:\Program Files\
- C:\Program Files (x86)\
- C:\Games\
- C:\Windows.old\
- D:\Users\[user]\AppData\Roaming\
- D:\Users\[user]\AppData\Local\
- D:\Windows\
- D:\PerfLogs\
- D:\dell\
- D:\Intel\
- D:\MSOCache\
- D:\Games\
- D:\ProgramData\Desktop\
- D:\ProgramData\Microsoft\
- D:\ProgramData\Package Cache\
- D:\$Recycle.Bin\
- D:\$WINDOWS.~BT\
- D:\Program Files\
- D:\Program Files (x86)\
- E:\dell\
- E:\Windows\
- E:\PerfLogs\
- E:\Users\Public\
- E:\$Recycle.Bin\
- E:\$WINDOWS.~BT\
- E:\Program Files\
- E:\Intel\
- E:\MSOCache\
- E:\Program Files (x86)\
- E:\Games\
- E:\ProgramData\Desktop\
- E:\Users\vmuser\AppData\Roaming\
- E:\Users\vmuser\AppData\Local\
- E:\ProgramData\Microsoft\E:\ProgramData\Package Cache\
- F:\dell\
- F:\Windows\
- F:\PerfLogs\
- F:\ProgramData\Desktop\
- F:\Users\Public\
- F:\$Recycle.Bin\
- F:\$WINDOWS.~BT\
- F:\Intel\
- F:\Users\[user]\AppData\Roaming\
- F:\Users\[user]\AppData\Local\
- F:\ProgramData\Microsoft\
Файлы, исключенные из шифрования
- ntuser.dat
- ntuser.dat.LOG1
- ntuser.dat.LOG2
- ntuser.pol
Расширения, исключенные из шифрования
- .sys
- .ini
- .DLL
- .dll
- .blf
- .bat
- .lnk
- .regtrans-ms
Шифрование
После заражения имена файлов изменяются на "[Оригинальное имя файла].bowd", и генерируется записка с выкупом.
Поскольку эта программа-выкуп в настоящее время распространяется массово, помимо .bowd были обнаружены различные расширения.
- .bowd
- .fatp
- .kcvp
- .tcvp
- .uyit
- .zate
Программы-вымогатели STOP запускаются с различными значениями аргументов, и каждый аргумент выполняет уникальную функцию. В дополнение к функции шифрования файлов, некоторые из них обладают функцией загрузки дополнительного вредоносного ПО. Файлы, загружаемые с помощью STOP ransomware, являются банковскими вредоносными программами среди других различных вредоносных программ, поэтому пользователю рекомендуется проявлять осторожность.
Indicators of Compromise
URls
- http://fresherlights.com/test1/get.php
- http://uaery.top/dl/build2.exe
- http://fresherlights.com/files/1/build3.exe
MD5
- 1b6cb967d428b206838942f6dd48bc84
- 60af7021e4bf7e26d25852de5cb43eac
- 623ec8b8c74e4e45a2380c41b5bb8045
- 83c1e4e675d6c19eb31b92bbe0471341
- bcd360251e71a44bd89b76a137ab74e1
- dcf1661f464688799531f10aa23d535f
- ec9e7ec1f15a62c4758fb57a73c2ef43