Вредоносная программа Chaos Ransomware реализована с помощью конструктора, который позволяет настраивать ее с помощью различных опций. Один из обнаруженных образцов этой программы был создан с использованием этого конструктора. Однако, неизвестно, как именно она распространяется на компьютерах жертв.
Исполняемый файл, полученный CERT-AGID через исследование MalwareHunterTeam, представляет собой .NET-файл, который почти идентичен другим образцам Chaos Ransomware.
При запуске программы проверяется, не запущена ли она уже, и если нет, то она начинает сканирование файлов для их шифрования. Обычно она сканирует все диски системы, за исключением диска C:, и шифрует содержимое определенных каталогов на этих дисках. Определенное исключение составляют файлы размером более 2 117 152 байтов, которые перезаписываются случайными байтами. Меньшие файлы шифруются с использованием алгоритма AES.
Все зашифрованные файлы становятся невосстановимыми, так как в записке с выкупом не указаны инструкции о том, как связаться с преступниками или как восстановить файлы.
Также, вредоносная программа Chaos Ransomware проверяет, выполняется ли она с правами администратора, и если выполняется, то пытается удалить теневые копии, отключить режим восстановления системы и удалить каталог резервных копий.
Интересно, что в записке, написанной на итальянском языке, указано политическое послание, связанное с конфликтом между Израилем и Палестиной. Это указывает на то, что программа была создана не для получения финансовой выгоды, а для разрушительных действий и пропаганды идеологических или политических целей.
Indicators of Compromise
MD5
- db5c28ec647afd894c01422584d551a5
SHA1
- fa0b5ebcb983509eebc7222725792976fad2aca8
SHA256
- 524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4
