BlackBit Ransomware IOCs

ransomware

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил распространение программы BlackBit ransomware, замаскированной под svchost.exe, в ходе мониторинга команды. Согласно данным внутренней инфраструктуры ASEC, программа BlackBit ransomware постоянно распространяется с сентября прошлого года.

BlackBit Ransomware

Программа-выкуп использует .NET Reactor для обфускации своего кода, что, вероятно, препятствует анализу. Можно заметить схожие характеристики между функционирующей программой-вымогателем и программой-вымогателем LokiLocker.
Перед выполнением процесса шифрования BlackBit ransomware проходит следующие подготовительные процедуры.

Для обеспечения живучести ransomware копирует себя в путь запуска и путь %AppData%, используя имя файла "winlogin.exe", и регистрирует себя в планировщике задач. Кроме того, он использует файлы BAT для регистрации связанных реестров, чтобы диспетчер задач не смог завершить его процессы.

После завершения процесса поддержания постоянства, программа-вымогатель удаляет файлы в Recycle.bin и тень тома, чтобы пользователи не смогли восстановить свои файлы после процесса шифрования.

Кроме того, программа-вымогатель изменяет сетевые настройки и завершает работу Windows Defender для утечки информации и предотвращения обнаружения.

  • netsh advfirewall set currentprofile state off
  • netsh firewall set opmode mode=disable
  • Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
  • Установите значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection
  • Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable
  • Установить значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

BlackBit ransomware завершает следующие процессы. Вероятно, этот процесс выполняется для сканирования среды виртуальной машины и расширения диапазона шифрования.

  • wxserverview
  • qbcfmonitorservice
  • qbidpservice
  • fdlauncher
  • zhudongfangyu
  • vmware-usbarbitator64
  • vmware-converter
  • sqlbrowser
  • mydesktopqos
  • isqlplussvc
  • xfssvccon
  • mydesktopservice
  • ocautoupds
  • firefoxconfig
  • tbirdconfig
  • mysqld-nt
  • mysqld-opt
  • sqbcoreservice
  • thunderbird
  • culserver
  • quickboooks.fcs
  • zhundongfangyu
  • mssqlserver
  • mssql$contoso1
  • sqlserveragent

После завершения вышеупомянутого процесса ransomware начинает шифровать файлы. Затем она создает файлы Restore-My-Files.txt в каждой зараженной папке и показывает записку с выкупом.

Indicators of Compromise

MD5

  • 3a7c3e8a378cd7a4fd83910937c23b19
Комментарии: 0