Nevada Ransomware IOCs

ransomware IOC

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил случаи распространения программы Nevada ransomware в ходе внутреннего мониторинга команды.

Nevada - это вредоносная программа, написанная на языке Rust, и ее отличительной чертой является тенденция добавлять расширение ".NEVADA" к заражаемым файлам. После шифрования каталогов она генерирует в каждом каталоге записки с именем "README.txt". В этих записках содержится ссылка на браузер Tor для оплаты выкупа.

Nevada Ransomware

Эта программа-вымогатель поддерживает опции на основе команд, чтобы иметь больший контроль над методом выполнения. Если программа-вымогатель будет запущена без указания каких-либо опций, она пройдет через все диски и выполнит только шифрование. Однако шифрование можно выполнить для определенных файлов и каталогов, указав их с помощью опций "file" и "dir". Кроме того, можно использовать другие функции, такие как самоудаление, дополнительная загрузка дисков, предназначенных для шифрования, и работа в безопасном режиме с помощью других опций. В таблице ниже приведено краткое описание функций командной строки, поддерживаемых этой программой-вымогателем.

Параметр Функция
-file Выполнить шифрование указанного файла
-dir Выполнить шифрование указанного каталога. Все подкаталоги также шифруются. (Каталоги с расширением "Nevada" исключаются из шифрования)
-sd Самоудаление
-sc Теневое удаление тома (необходимо запускать от имени администратора)
-lhd Загрузка скрытых дисков
-nd Шифровать общие сетевые папки
-sm Выполнять операцию выкупа после перезагрузки в безопасном режиме (Должно быть запущено от имени администратора) Деактивирует службу Windows Defender
-help Объяснение опций вымогательского ПО

В случае этого образца Nevada ransomware не заражает системы, находящиеся в конкретных странах Содружества Независимых Государств (СНГ). Вместо этого он завершает свою работу. Было подтверждено, что эти страны связаны с бывшим Советским Союзом. По-видимому, для этих стран в коде установлен битовый флаг, чтобы исключить их из процесса.

Эта программа-вымогатель включает процедуру проверки имен файлов и папок, которые исключаются из процесса шифрования. Файлы и папки, которые в конечном итоге исключаются из процесса шифрования

Папки, исключенные из заражения: windows, program files, program files (x86), appdata, programdata, system volume information, NEVADA

Расширения, исключенные из заражения: exe, ini, dll, url, lnk, scr

Подстроки, исключенные из заражения: ntuser

Indicators of Compromise

MD5

  • b673d92b77489d12779dc1fb5e8f6fdd
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий