DAGON LOCKER Ransomware IOCs

ransomware IOC

Было обнаружено, что в Корее распространяется программа-вымогатель DAGON LOCKER (далее "DAGON"). Впервые она была обнаружена в истории блокирования подозрительного поведения вымогательского ПО в инфраструктуре AhnLab ASD. В октябре корейская организация также сообщила АнЛаб о подозрительном файле. DAGON обычно распространяется через фишинговые письма или как вложение в электронные письма, но поскольку это вымогательское ПО как услуга, маршрут распространения и цель могут варьироваться в зависимости от угрожающего субъекта.

DAGON LOCKER Ransomware

В упакованном виде файл DAGON представляет собой 64-битный двоичный файл EXE, создаваемый в памяти процесса, который является кодом ядра. Этот код очень похож на MountLocker и Quantum ransomware, которые распространялись с 2020 года. DAGON можно рассматривать как похожий вариант MountLocker и Quantum, поскольку есть схожие функции и части, использующие один и тот же код. В коде DAGON ransomware была обнаружена строка 'Ver 5.1 x64', означающая информацию о версии. Ниже показаны основные характеристики DAGON и экран пользователя при заражении этой ransomware.

  • Возможность ограничить или расширить объем шифрования вымогательской программы с помощью аргументов выполнения и обозначения опций выполнения
  • Шифрует все файлы, кроме определенных путей и расширений файлов, прежде чем изменить их на имена файлов в формате '*.dagoned'
  • Использует метод шифрования ChaCha20 для шифрования файлов и использует ключ шифрования RSA-2048 для процесса
  • Проверяет список служб и процессов Windows в системе и завершает их, если они удовлетворяют условиям
  • Сохраняет информацию о системе пользователя и историю шифрования вымогателя в файле '.log'.
  • Не удаляет теневые копии томов

Indicators of Compromise

MD5

  • 48177ece3ebdee2faf8227e52e608562
  • 81a757ac559ae73229992d4b533338c3
SEC-1275-1
Добавить комментарий