Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил распространение программы BlackBit ransomware, замаскированной под svchost.exe, в ходе мониторинга команды. Согласно данным внутренней инфраструктуры ASEC, программа BlackBit ransomware постоянно распространяется с сентября прошлого года.
BlackBit Ransomware
Программа-выкуп использует .NET Reactor для обфускации своего кода, что, вероятно, препятствует анализу. Можно заметить схожие характеристики между функционирующей программой-вымогателем и программой-вымогателем LokiLocker.
Перед выполнением процесса шифрования BlackBit ransomware проходит следующие подготовительные процедуры.
Для обеспечения живучести ransomware копирует себя в путь запуска и путь %AppData%, используя имя файла "winlogin.exe", и регистрирует себя в планировщике задач. Кроме того, он использует файлы BAT для регистрации связанных реестров, чтобы диспетчер задач не смог завершить его процессы.
| 1 2 | "C:\Windows\System32\cmd.exe" /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:\Users\rapit\AppData\Roaming\winlogon.exe /RU SYSTEM /RL HIGHEST /F REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f |
После завершения процесса поддержания постоянства, программа-вымогатель удаляет файлы в Recycle.bin и тень тома, чтобы пользователи не смогли восстановить свои файлы после процесса шифрования.
| 1 2 3 4 5 6 | vssadmin delete shadows /all /quiet wbadmin DELETE SYSTEMSTATEBACKUP wmic shadowcopy delete wbadmin delete catalog -quiet bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no |
Кроме того, программа-вымогатель изменяет сетевые настройки и завершает работу Windows Defender для утечки информации и предотвращения обнаружения.
- netsh advfirewall set currentprofile state off
- netsh firewall set opmode mode=disable
- Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
- Установите значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection
- Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable
- Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
BlackBit ransomware завершает следующие процессы. Вероятно, этот процесс выполняется для сканирования среды виртуальной машины и расширения диапазона шифрования.
- wxserverview
- qbcfmonitorservice
- qbidpservice
- fdlauncher
- zhudongfangyu
- vmware-usbarbitator64
- vmware-converter
- sqlbrowser
- mydesktopqos
- isqlplussvc
- xfssvccon
- mydesktopservice
- ocautoupds
- firefoxconfig
- tbirdconfig
- mysqld-nt
- mysqld-opt
- sqbcoreservice
- thunderbird
- culserver
- quickboooks.fcs
- zhundongfangyu
- mssqlserver
- mssql$contoso1
- sqlserveragent
После завершения вышеупомянутого процесса ransomware начинает шифровать файлы. Затем она создает файлы Restore-My-Files.txt в каждой зараженной папке и показывает записку с выкупом.
Indicators of Compromise
MD5
- 3a7c3e8a378cd7a4fd83910937c23b19
