TaRRaK Ransomware IOCs

Программа-рансомвар TaRRaK появилась в июне 2021 года.

TaRRaK Ransomware

Программа-вымогатель написана на языке .NET. Двоичный файл очень чистый и не содержит никаких защит или обфускаций. При выполнении образец создает мьютекс с именем TaRRaK, чтобы гарантировать, что будет выполнен только один экземпляр вредоносной программы. Кроме того, создается запись в реестре с автоматическим запуском, чтобы запускать вымогательскую программу при каждом входе пользователя в систему.

Программа-вымогатель содержит список из 178 типов файлов (расширений), которые при обнаружении шифруются:

3ds 7z 7zip acc accdb ai aif apk asc asm asf asp aspx avi backup bak bat bin bmp c cdr cer cfg cmd cpp crt crw cs csproj css csv cue db db3 dbf dcr dds der dmg dng doc doc docm docx dotx dwg dxf dxg eps epub erf flac flv gif gpg h html ico img iso java jpe jpeg jpg js json kdc key kml kmz litesql log lua m3u m4a m4u m4v max mdb mdf mef mid mkv mov mp3 mp4 mpa mpeg mpg mrw nef nrw obj odb odc odm odp ods odt orf p12 p7b p7c part pdb pdd pdf pef pem pfx php plist png ppt pptm pptx ps ps ps1 psd pst ptx pub pri py pyc r3d raf rar raw rb rm rtf rwl sav sh sln suo sql sqlite sqlite3 sqlitedb sr2 srf srt srw svg swf tga thm tif tiff tmp torrent txt vbs vcf vlf vmx vmdk vdi vob wav wma wmi wmv wpd wps x3f xlk xlm xls xlsb xlsm xlsx xml zip

Программа-вымогатель избегает папок, содержащих одну из следующих строк:

  • All Users\Microsoft\
  • $Recycle.Bin
  • \Windows
  • \Program Files
  • Temporary Internet Files
  • \Local\Microsoft\
  • :\ProgramData\

Зашифрованные файлы получают новое расширение .TaRRaK.

Сначала программа-вымогатель пытается считать весь файл в память с помощью функции File.ReadAllBytes(). Эта функция имеет внутренний предел - можно загрузить не более 2 ГБ данных. В случае если файл больше, функция выбрасывает исключение, которое затем обрабатывается блоком try-catch. К сожалению, блок try-catch обрабатывает только условие отказа в разрешении. Поэтому он добавляет запись ACL, предоставляющую полный доступ всем, и повторяет операцию чтения данных. В случае любой другой ошибки (сбой чтения, нарушение правил совместного доступа, нехватка памяти, чтение из автономного файла) снова возникает исключение, и вымогательская программа застревает в бесконечном цикле.

Даже если операция загрузки данных прошла успешно и данные файла поместились в памяти, есть еще одна загвоздка. Функция Encrypt преобразует массив байтов в массив 32-битных целых чисел.

Поэтому он выделяет другой блок памяти с размером, равным размеру файла. Затем он выполняет операцию шифрования, используя собственный алгоритм шифрования. Зашифрованный массив Uint32 преобразуется в другой массив байтов и записывается в файл. Таким образом, в дополнение к выделению памяти для исходных данных файла выделяются два дополнительных блока. Если какое-либо из выделений памяти не удается, возникает исключение, и ransomware снова застревает в бесконечном цикле.

В редких случаях, когда процесс шифрования завершается (нет нарушения общего доступа или другой ошибки), файл с примечанием о выкупе под названием Encrypted Files by TaRRaK.txt сбрасывается в корневую папку каждого диска.

Avast decryptor

Чтобы расшифровать файлы, выполните следующие действия:

  1. Вы должны войти в ту же учетную запись пользователя, что и та, под которой были зашифрованы файлы.
  2. Скачайте бесплатный расшифровщик Avast для 32-разряной или 64-разрядной версии Windows.
  3. Запустите исполняемый файл. Он запустится в виде мастера, который проведет вас через настройку процесса расшифровки.
  4. На начальной странице вы можете прочитать информацию о лицензии, если хотите, но на самом деле вам нужно только нажать "Далее".
  5. На следующей странице выберите список местоположений, которые вы хотите искать и расшифровывать. По умолчанию он содержит список всех локальных дисков.
  6. На последней странице вы можете выбрать резервное копирование зашифрованных файлов. Эти резервные копии могут помочь, если в процессе расшифровки что-то пойдет не так. Эта опция включена по умолчанию, что мы и рекомендуем. После нажатия кнопки "Расшифровать" начнется процесс дешифровки. Дайте дешифратору поработать и подождите, пока он не закончит расшифровку всех ваших файлов.

Indicators of Compromise

SHA256

  • 00965b787655b23fa32ef2154d64ee9e4e505a42d70f5bb92d08d41467fb813d
  • 47554d3ac4f61e223123845663c886b42016b4107e285b7da6a823c2f5050b86
  • aafa0f4d3106755e7e261d337d792d3c34fc820872fd6d1aade77b904762d212
  • af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823
SEC-1275-1
Добавить комментарий