ASEC (AhnLab Security Emergency response Center) недавно обнаружил распространение iswr ransomware в ходе мониторинга, проводимого командой.
Особенностью iswr является добавление расширения iswr в конец имен файлов после их шифрования.
Шифрование происходит через 25 секунд после выполнения программы-выкупа. Файлы с расширениями относительно меньшего размера шифруются раньше, чем файлы с более крупными расширениями. Цели шифрования следующие.
Цель шифрования: Каждый файл на каждом диске со следующими расширениями.
- Список расширений с небольшими размерами файлов, предназначенных для шифрования: pdf, doc, docx, jpeg, png, jpg, ai, aep, eps, psd, dwg, odt, odp, odb, docm, xls, xlsx, xlsm, xlsb, xlk, ppt, pptx, mdb, pst, dxf, rtf, pdd, indd, cdr, dng, arw, sr2, crw, pst, nef, raw, rwl, rw2, r3d, crw, sr2, crw, x3f, max, 3DS, skp
- Список расширений с большими размерами файлов, предназначенных для шифрования: mp4, zip, rar
В отличие от метода шифрования других программ-вымогателей, iswr не смешивает асимметричные и симметричные ключи, как это делают другие программы-вымогатели. Вместо этого он использует только асимметричный ключ. Он использует случайно сгенерированное значение ключа (6 байт) для создания 256-байтового блока ключей, а затем подвергает этот блок ключей определенной операции и шифрует его с помощью операций с данными и XOR.
Расшифровка возможна благодаря невероятно простому методу шифрования, но пока зараженные пользователи сами не проанализируют файлы, они не смогут определить, какая процедура шифрования была использована. Это вынуждает пользователей либо платить агенту угрозы за получение инструмента расшифровки (при этом неизвестно, будет ли он предоставлен на самом деле), либо форматировать свою систему.
Indicators of Compromise
MD5
- f791d1cf335353ea57c9475a69b261b0