Было обнаружено, что в Корее распространяется программа-вымогатель DAGON LOCKER (далее "DAGON"). Впервые она была обнаружена в истории блокирования подозрительного поведения вымогательского ПО в инфраструктуре AhnLab ASD. В октябре корейская организация также сообщила АнЛаб о подозрительном файле. DAGON обычно распространяется через фишинговые письма или как вложение в электронные письма, но поскольку это вымогательское ПО как услуга, маршрут распространения и цель могут варьироваться в зависимости от угрожающего субъекта.
DAGON LOCKER Ransomware
В упакованном виде файл DAGON представляет собой 64-битный двоичный файл EXE, создаваемый в памяти процесса, который является кодом ядра. Этот код очень похож на MountLocker и Quantum ransomware, которые распространялись с 2020 года. DAGON можно рассматривать как похожий вариант MountLocker и Quantum, поскольку есть схожие функции и части, использующие один и тот же код. В коде DAGON ransomware была обнаружена строка 'Ver 5.1 x64', означающая информацию о версии. Ниже показаны основные характеристики DAGON и экран пользователя при заражении этой ransomware.
- Возможность ограничить или расширить объем шифрования вымогательской программы с помощью аргументов выполнения и обозначения опций выполнения
- Шифрует все файлы, кроме определенных путей и расширений файлов, прежде чем изменить их на имена файлов в формате '*.dagoned'
- Использует метод шифрования ChaCha20 для шифрования файлов и использует ключ шифрования RSA-2048 для процесса
- Проверяет список служб и процессов Windows в системе и завершает их, если они удовлетворяют условиям
- Сохраняет информацию о системе пользователя и историю шифрования вымогателя в файле '.log'.
- Не удаляет теневые копии томов
Indicators of Compromise
MD5
- 48177ece3ebdee2faf8227e52e608562
- 81a757ac559ae73229992d4b533338c3