STOP Ransomware IOCs

ransomware IOC

Команда аналитиков ASEC обнаружила, что в Корее распространяется программа STOP ransomware. Эта программа-вымогатель распространяется в очень больших объемах и входит в Топ-3 в еженедельной статистике вредоносных программ ASEC.

STOP Ransomware

Распространяемые файлы имеют форму MalPe, как и SmokeLoader и Vidar, а имена файлов содержат случайную 4-байтовую строку, как показано ниже.

Когда программа-вымогатель запускается, она сначала подключается к hxxps://api.2ip.ua/geo.json и проверяет код страны. Если код соответствует любой из перечисленных ниже стран, шифрование не выполняется.

Код страны

Если идентифицированный код не входит в приведенный выше список, в папке %LOCALAPPDATA% создается папка с именем [uuid], и исполняемый файл копирует себя в эту папку. После этого скопированному файлу присваивается аргумент -AutoStart и файл добавляется в реестр HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SysHelper.

Также, чтобы скопированный файл нельзя было изменить или удалить, с помощью команды icacls снимаются все разрешения на эту папку и ее вложенные папки.

Команда выполнения: icacls "%LocalAppData%\[uuid]" /deny *S-1-1-0:(OI)(CI)(DE,DC)

После этого, для того чтобы файл ransomware запускался постоянно, задача добавляется в планировщик задач под названием Time Trigger Task. Затем файл, добавленный в планировщик задач, запускается каждые 5 минут с параметром -Task в качестве аргумента.

Кроме того, чтобы программа-вымогатель выполнялась с привилегиями администратора, она запускается через Runas с параметром -Admin IsNotAutoStart IsNotTask.

Программа STOP ransomware подключается к hxxp://fresherlights[.]com/test1/get.php?pid=[MD5 HASH-значение MAC-адреса] и загружает ключевые данные для шифрования файлов. Загруженные данные сохраняются в %LOCALAPPDATA%\bowsakkdestx.txt, а если вышеуказанный URL недоступен, то используются данные внутри ransomware.

Исключения из шифрования

Ниже перечислены файлы, папки и расширения, которые исключаются из шифрования.

  • C:\SystemID\
  • C:\Users\Default User\
  • C:\Users\Public\
  • C:\Users\All Users\
  • C:\Users\Default\
  • C:\Documents and Settings\
  • C:\ProgramData\
  • C:\Recovery\
  • C:\System Volume Information\
  • C:\Users\vmuser\AppData\Roaming\
  • C:\Users\vmuser\AppData\Local\
  • C:\Windows\
  • C:\PerfLogs\
  • C:\ProgramData\Microsoft\
  • C:\ProgramData\Package Cache\
  • C:\Users\Public\
  • C:\$Recycle.Bin\
  • C:\$WINDOWS.~BT\
  • C:\dell\
  • C:\Intel\
  • C:\MSOCache\
  • C:\Program Files\
  • C:\Program Files (x86)\
  • C:\Games\
  • C:\Windows.old\
  • D:\Users\[user]\AppData\Roaming\
  • D:\Users\[user]\AppData\Local\
  • D:\Windows\
  • D:\PerfLogs\
  • D:\dell\
  • D:\Intel\
  • D:\MSOCache\
  • D:\Games\
  • D:\ProgramData\Desktop\
  • D:\ProgramData\Microsoft\
  • D:\ProgramData\Package Cache\
  • D:\$Recycle.Bin\
  • D:\$WINDOWS.~BT\
  • D:\Program Files\
  • D:\Program Files (x86)\
  • E:\dell\
  • E:\Windows\
  • E:\PerfLogs\
  • E:\Users\Public\
  • E:\$Recycle.Bin\
  • E:\$WINDOWS.~BT\
  • E:\Program Files\
  • E:\Intel\
  • E:\MSOCache\
  • E:\Program Files (x86)\
  • E:\Games\
  • E:\ProgramData\Desktop\
  • E:\Users\vmuser\AppData\Roaming\
  • E:\Users\vmuser\AppData\Local\
  • E:\ProgramData\Microsoft\E:\ProgramData\Package Cache\
  • F:\dell\
  • F:\Windows\
  • F:\PerfLogs\
  • F:\ProgramData\Desktop\
  • F:\Users\Public\
  • F:\$Recycle.Bin\
  • F:\$WINDOWS.~BT\
  • F:\Intel\
  • F:\Users\[user]\AppData\Roaming\
  • F:\Users\[user]\AppData\Local\
  • F:\ProgramData\Microsoft\

Файлы, исключенные из шифрования

  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol

Расширения, исключенные из шифрования

  • .sys
  • .ini
  • .DLL
  • .dll
  • .blf
  • .bat
  • .lnk
  • .regtrans-ms

Шифрование

После заражения имена файлов изменяются на "[Оригинальное имя файла].bowd", и генерируется записка с выкупом.

Поскольку эта программа-выкуп в настоящее время распространяется массово, помимо .bowd были обнаружены различные расширения.

  • .bowd
  • .fatp
  • .kcvp
  • .tcvp
  • .uyit
  • .zate

Программы-вымогатели STOP запускаются с различными значениями аргументов, и каждый аргумент выполняет уникальную функцию. В дополнение к функции шифрования файлов, некоторые из них обладают функцией загрузки дополнительного вредоносного ПО. Файлы, загружаемые с помощью STOP ransomware, являются банковскими вредоносными программами среди других различных вредоносных программ, поэтому пользователю рекомендуется проявлять осторожность.

Indicators of Compromise

URls

  • http://fresherlights.com/test1/get.php
  • http://uaery.top/dl/build2.exe
  • http://fresherlights.com/files/1/build3.exe

MD5

  • 1b6cb967d428b206838942f6dd48bc84
  • 60af7021e4bf7e26d25852de5cb43eac
  • 623ec8b8c74e4e45a2380c41b5bb8045
  • 83c1e4e675d6c19eb31b92bbe0471341
  • bcd360251e71a44bd89b76a137ab74e1
  • dcf1661f464688799531f10aa23d535f
  • ec9e7ec1f15a62c4758fb57a73c2ef43
SEC-1275-1
Добавить комментарий