Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил случаи распространения программы Nevada ransomware в ходе внутреннего мониторинга команды.
Nevada - это вредоносная программа, написанная на языке Rust, и ее отличительной чертой является тенденция добавлять расширение ".NEVADA" к заражаемым файлам. После шифрования каталогов она генерирует в каждом каталоге записки с именем "README.txt". В этих записках содержится ссылка на браузер Tor для оплаты выкупа.
Nevada Ransomware
Эта программа-вымогатель поддерживает опции на основе команд, чтобы иметь больший контроль над методом выполнения. Если программа-вымогатель будет запущена без указания каких-либо опций, она пройдет через все диски и выполнит только шифрование. Однако шифрование можно выполнить для определенных файлов и каталогов, указав их с помощью опций "file" и "dir". Кроме того, можно использовать другие функции, такие как самоудаление, дополнительная загрузка дисков, предназначенных для шифрования, и работа в безопасном режиме с помощью других опций. В таблице ниже приведено краткое описание функций командной строки, поддерживаемых этой программой-вымогателем.
Параметр | Функция |
-file | Выполнить шифрование указанного файла |
-dir | Выполнить шифрование указанного каталога. Все подкаталоги также шифруются. (Каталоги с расширением "Nevada" исключаются из шифрования) |
-sd | Самоудаление |
-sc | Теневое удаление тома (необходимо запускать от имени администратора) |
-lhd | Загрузка скрытых дисков |
-nd | Шифровать общие сетевые папки |
-sm | Выполнять операцию выкупа после перезагрузки в безопасном режиме (Должно быть запущено от имени администратора) Деактивирует службу Windows Defender |
-help | Объяснение опций вымогательского ПО |
В случае этого образца Nevada ransomware не заражает системы, находящиеся в конкретных странах Содружества Независимых Государств (СНГ). Вместо этого он завершает свою работу. Было подтверждено, что эти страны связаны с бывшим Советским Союзом. По-видимому, для этих стран в коде установлен битовый флаг, чтобы исключить их из процесса.
Эта программа-вымогатель включает процедуру проверки имен файлов и папок, которые исключаются из процесса шифрования. Файлы и папки, которые в конечном итоге исключаются из процесса шифрования
Папки, исключенные из заражения: windows, program files, program files (x86), appdata, programdata, system volume information, NEVADA
Расширения, исключенные из заражения: exe, ini, dll, url, lnk, scr
Подстроки, исключенные из заражения: ntuser
Indicators of Compromise
MD5
- b673d92b77489d12779dc1fb5e8f6fdd