В последнее время киберпреступники продолжают совершенствовать свои методы атак, и новый пример тому - ransomware NailaoLocker, обнаруженный специалистами FortiGuard Labs. Этот вредоносный код, нацеленный на системы под управлением Microsoft Windows, использует классический для ransomware алгоритм AES-256-CBC для шифрования файлов пользователей. Однако его ключевая особенность - наличие встроенных SM2-ключей и функции дешифрования - делает его уникальным и одновременно подозрительным.
Описание
SM2-криптография и китайский след
SM2 - это стандарт криптографии на эллиптических кривых, разработанный в Китае и одобренный государственными структурами. Его использование в ransomware - большая редкость, и это сразу же выделило NailaoLocker среди других семейств вредоносного ПО. Китайское название "Nailao" (в переводе - "сыр") наводит на мысль о возможной китайской разработке, хотя авторы могут использовать это как отвлекающий маневр.
Особенностью данной версии является то, что в коде присутствуют не только публичные, но и приватные SM2-ключи, что крайне нехарактерно для ransomware. Это может указывать на тестовую сборку или даже на внутреннюю утечку инструментария.
Механизм атаки: DLL side-loading и минимизация следов
NailaoLocker распространяется в виде трех файлов:
- usysdiag.exe - легитимный исполняемый файл, используемый для DLL side-loading.
- sensapi.dll - вредоносный загрузчик (NailaoLoader).
- usysdiag.exe.dat - зашифрованный payload ransomware.
Атака начинается с запуска usysdiag.exe, который загружает sensapi.dll. Этот DLL, в свою очередь, расшифровывает и загружает основной payload (usysdiag.exe.dat) прямо в память, после чего удаляет sensapi.dll, чтобы минимизировать цифровые следы.
Многопоточность и эффективное шифрование
Для ускорения процесса NailaoLocker использует Windows I/O Completion Ports (IOCP) и многопоточность. Система создает не менее восьми рабочих потоков, что обеспечивает быстрое шифрование даже на маломощных системах.
В процессе работы ransomware исключает из шифрования системные файлы и директории (например, \Windows, \Program Files), чтобы не нарушить работоспособность системы и сохранить доступ для дальнейших действий.
Особенности шифрования и потенциальная уязвимость
В отличие от большинства ransomware, которые используют RSA для защиты AES-ключей, NailaoLocker применяет SM2. Это первый известный случай, когда SM2 используется в таком контексте.
Каждый файл шифруется уникальным AES-ключом и вектором инициализации (IV), которые затем защищаются SM2. Однако встроенный приватный ключ оказался нерабочим - при попытке дешифрования он не возвращает корректные AES-ключи. Это может быть ошибкой разработчиков или преднамеренной мерой, чтобы затруднить восстановление файлов.
Выводы и угрозы
NailaoLocker представляет собой необычный образец ransomware, сочетающий классические методики с новыми технологиями. Встроенная функция дешифрования и SM2-криптография делают его объектом особого внимания аналитиков.
Хотя текущая версия, возможно, не готова для массовых атак, она демонстрирует тенденцию к использованию региональных криптографических стандартов. Если авторы доработают механизм и начнут активно распространять этот ransomware, он может стать серьезной угрозой, особенно в Азиатско-Тихоокеанском регионе.
NailaoLocker напоминает, что киберугрозы продолжают эволюционировать, и только комплексный подход к безопасности может обеспечить надежную защиту.
Индикаторы компрометации
SHA256
- 1248c4b352b9b1325ef97435bd38b2f02d21e2c6d494a2218ee363d9874b7607
- 46f3029fcc7e2a12253c0cc65e5c58b5f1296df1e364878b178027ab26562d68
- 60133376a7c8e051da787187761e596ce9b3d0cfcea21ed8f434992aa7cb8605
