FortiGuard Lab раскрывает темную сторону: Как обнаруживается вымогатель Dark 101, несмотря на хитроумные методы уклонения

Подробный анализ, проведенный с помощью FortiSandbox 5.0, демонстрирует, как даже изощренные техники уклонения ransomware терпят крах перед современными системами защиты. Исследование объединило данные автоматизированного sandbox-отчета и ручной реверс-инжиниринг, раскрыв полный цикл атаки - от первоначального запуска до финального удара по данным. Этот кейс служит наглядным пособием для ИТ-специалистов, позволяющим оценить уязвимости инфраструктуры и усилить оборону до реальной атаки.

Первая линия обороны Dark 101 - детектирование виртуальной среды. Зловред проверяет, запущен ли он вне каталога %Appdata%, и при положительном результате вводит 10-секундную задержку, чтобы усложнить автоматический анализ. Далее вымогатель копирует себя в %Appdata% под маскировкой svchost.exe - имя легитимного системного процесса, обычно расположенного в C:\Windows\System32. Тактика призвана усыпить бдительность пользователей и обойти примитивные системы защиты.

Следующая фаза - методичное уничтожение возможностей восстановления. Dark 101 выполняет каскад команд, нацеленных на ликвидацию точек отката. Через vssadmin и wmic удаляются все теневые копии томов (Volume Shadow Copies), критичные для восстановления предыдущих версий файлов. Параллельно wbadmin стирает каталог резервных копий Windows, блокируя доступ к образам системы. Этот дуэт команд оставляет жертву без шансов на локальное восстановление зашифрованных данных. Затем атака переключается на нейтрализацию инструментов реагирования. Путем модификации реестра (ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System) зловред устанавливает параметр DisableTaskMgr в значение 1, блокируя диспетчер задач. Ход лишает пользователей возможности отслеживать процессы или останавливать вредоносную активность, увеличивая живучесть ransomware в системе.

Только после этих подготовительных этапов Dark 101 приступает к главной миссии - шифрованию. Сканируя файловую систему, он выборочно атакует пользовательские директории с ценными данными, игнорируя системные файлы во избежание краха ОС. Мишенью становятся документы, изображения, архивы и базы данных с заранее заданными расширениями (.docx, .xlsx, .jpg, .sql и др.). Каждый файл шифруется поточным алгоритмом, а к его имени добавляется случайное четырехсимвольное расширение, превращающее данные в нечитаемый цифровой мусор. В завершение в каждую папку с жертвами кидается записка read_it.txt - ультиматум с требованием выкупа в биткоинах и контактами для связи с злоумышленниками. Финал операции - паралич данных и психологическое давление на жертву.

Этот случай - наглядный урок эволюции киберугроз. Dark 101 использует гибридный подход: обфускация кода для усложнения статического анализа, задержки исполнения для противодействия песочницам, имитация легитимных процессов и точечное разрушение инфраструктуры восстановления.

MD5

• ae3dd3d1eedb6835e6746d51d9ab21c6