TZW Ransomware IOCs

ransomware IOC

Благодаря внутреннему мониторингу аналитическая группа ASEC недавно обнаружила распространение программы-рансома TZW, которая шифрует файлы, добавляя расширение файла "TZW" к исходному расширению.

TZW Ransomware

Эта программа-вымогатель распространяется с версией info, помеченной как "System Boot Info", маскируясь под обычный программный файл, связанный с информацией о загрузке.

Он был создан в формате .NET и включает в себя загрузчик и собственно данные ransomware. В конечном итоге он загружает и выполняет файл ransomware через загрузчик. Среди данных в ресурсах он декодирует и запускает 'dVvYsaL' в памяти. Эти данные содержат загрузчик и данные выкупа. Подобный метод был описан в одной из предыдущих статей блога ASEC.

Дополнительно запущенный файл загрузчика помещает копию под именем 'GvsqHuTYODA.exe' в каталог %AppData% и приступает к регистрации планировщика заданий.

После регистрации в планировщике задач файл рекурсивно выполняет PE-файл, выполняющий поведение ransomware, вместе с параметром "{путь}" для кодирования файлов.

Выполняемый процесс проходит через логику проверки виртуальной среды перед заражением системы.

Затем, чтобы расширить диапазон заражения, он проходит через логику, проверяющую информацию о диске, прежде чем перейти к процедуре шифрования файлов.

Процесс шифрования файлов состоит из потока, который шифрует общие папки, и потока, который шифрует локальную среду.

Шифрование файлов происходит во всех папках, кроме папки Windows, а после шифрования тени томов удаляются, чтобы затруднить восстановление системы.

По пути, где произошло шифрование файлов, можно найти следующую записку с выкупом 'ReadMe.txt'. Строка "CRYPTO LOCKER" находится в конце зараженных файлов.

Indicators of Compromise

MD5

  • 10daa4697b861d3dc45a0a03222ba132
  • eae94abe9753634f79a91ecb4da7ff72
  • f1ab4f5cbf5fc72c4033699edadc4622
SEC-1275-1
Добавить комментарий