Благодаря внутреннему мониторингу аналитическая группа ASEC недавно обнаружила распространение программы-рансома TZW, которая шифрует файлы, добавляя расширение файла "TZW" к исходному расширению.
TZW Ransomware
Эта программа-вымогатель распространяется с версией info, помеченной как "System Boot Info", маскируясь под обычный программный файл, связанный с информацией о загрузке.
Он был создан в формате .NET и включает в себя загрузчик и собственно данные ransomware. В конечном итоге он загружает и выполняет файл ransomware через загрузчик. Среди данных в ресурсах он декодирует и запускает 'dVvYsaL' в памяти. Эти данные содержат загрузчик и данные выкупа. Подобный метод был описан в одной из предыдущих статей блога ASEC.
Дополнительно запущенный файл загрузчика помещает копию под именем 'GvsqHuTYODA.exe' в каталог %AppData% и приступает к регистрации планировщика заданий.
1 | schtasks.exe /Create /TN "Updates\GvsqHuTYODA" /XML "%Temp%\tmpF6C.tmp" |
После регистрации в планировщике задач файл рекурсивно выполняет PE-файл, выполняющий поведение ransomware, вместе с параметром "{путь}" для кодирования файлов.
Выполняемый процесс проходит через логику проверки виртуальной среды перед заражением системы.
Затем, чтобы расширить диапазон заражения, он проходит через логику, проверяющую информацию о диске, прежде чем перейти к процедуре шифрования файлов.
Процесс шифрования файлов состоит из потока, который шифрует общие папки, и потока, который шифрует локальную среду.
Шифрование файлов происходит во всех папках, кроме папки Windows, а после шифрования тени томов удаляются, чтобы затруднить восстановление системы.
По пути, где произошло шифрование файлов, можно найти следующую записку с выкупом 'ReadMe.txt'. Строка "CRYPTO LOCKER" находится в конце зараженных файлов.
Indicators of Compromise
MD5
- 10daa4697b861d3dc45a0a03222ba132
- eae94abe9753634f79a91ecb4da7ff72
- f1ab4f5cbf5fc72c4033699edadc4622