🧒🏼 🤩 ⛹🏻 Le ransomware sans fichier FTCODE vole désormais les comptes 🚹 🚻 🤚🏽

En 2013, Sophos a signalé des cas d'infection par un virus rançongiciel écrit dans PowerShell. L'attaque visait des utilisateurs de Russie. Après avoir chiffré les fichiers, l'extension .FTCODE leur a été ajoutée, ce qui a donné le nom au ransomware. Un code malveillant s'est propagé lors du spam dans un fichier HTA joint à un e-mail. Après le cryptage, le ransomware a laissé des instructions en russe sur la façon de créer une rançon et de décrypter les fichiers.

Quelques années plus tard, à l'automne 2019, de nouvelles mentions d'infection par ce ransomware sont apparues. Les attaquants ont mené une campagne de phishing visant les utilisateurs du service de messagerie électronique certifié PEC utilisé en Italie et dans d'autres pays. Les victimes ont reçu un e-mail avec un document joint. À l'intérieur du document se trouvait une macro qui téléchargeait du code malveillant. En plus du chiffrement, le ransomware a installé un chargeur de démarrage JasperLoader. Ce cheval de Troie peut être utilisé pour fournir divers logiciels malveillants. Par exemple, il existe des cas connus de téléchargement d'une victime d'un cheval de Troie bancaire Gootkit sur un ordinateur .

À la mi-octobre, une version de rançongiciel est apparue, complétée par des fonctions de vol de comptes d'utilisateurs et de mots de passe sur l'ordinateur de la victime. Ils sont extraits des navigateurs populaires et des clients de messagerie installés avec les paramètres par défaut.

PowerShell est souvent utilisé pour développer des logiciels malveillants, car l'interprète de cette langue est inclus par défaut dans le système d'exploitation Windows depuis la septième version. De plus, PowerShell permet d'exécuter du code malveillant sans l'enregistrer dans un fichier sur l'ordinateur de la victime. Positive Technologies a une entrée webinaire sur ces menaces.

Livraison de la charge utile

Tout d'abord, le script nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs est nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs , ce qui démarre le processus d'interpréteur PowerShell.

Figure 1. Téléchargement de la charge utile

L'interprète reçoit une ligne avec les commandes qui téléchargent l'image hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg (figure 2) et l'enregistrent en tant que tarife. jpg dans le répertoire des fichiers temporaires.

Figure 2. L'image tarifaire.jpg utilisée pour distraire l'attention de l'utilisateur

Ensuite, cette image est ouverte et en même temps à l'aide du rançongiciel Invoke Expression est téléchargée à partir d'Internet, sans gravure sur disque. Contrairement aux cas d'infection précédents, le corps du malware est désormais codé de manière répartie à l'aide de l'algorithme Base64. Pour la livraison de la charge utile, le domaine «band [.] Positivelifeology [.] Com» (figure 3), ainsi que «mobi [.] Confessyoursins [.] Mobi» sont utilisés.

Figure 3. Fragment de trafic avec code rançongiciel

Vol des informations d'identification de l'utilisateur

Comme déjà indiqué, la nouvelle version du ransomware dispose d'un module pour voler les comptes d'utilisateurs et les mots de passe des navigateurs populaires et des clients de messagerie, à savoir d'Internet Explorer, Mozilla Firefox, Chrome, Outlook et Mozilla Thunderbird.

Tout d'abord, la commande start chooseArch est envoyée au serveur attaquant avec le domaine Com surv [.] Surviveandthriveparenting [.] En utilisant la requête POST du protocole HTTP.

Figure 4. Signal concernant le début de l'exécution du module pour le vol d'identité

Le trafic généré à ce stade est caractérisé par une ligne de la forme guid = temp_dddddddddddd, suivie de commandes ou de données volées (figure 5). Cette ligne contient un guide unique à chaque échantillon de ransomware.

Figure 5. Code utilisé par le styler pour la communication réseau

Ensuite, les noms d'utilisateur et les mots de passe de la victime sont extraits, encodés par l'algorithme base64 et envoyés aux attaquants.

Figure 6. Code pour l'envoi de comptes d'utilisateurs

Ce qui suit est un extrait de trafic contenant les données volées envoyées par la demande HTTP POST.

Figure 7. Données de vol

Une fois les informations d'identification envoyées, le distillateur, à l'aide de la requête POST du protocole HTTP, signale la fin de son travail.

Figure 8. Signal de vol de données réussi

Installer le chargeur de démarrage JasperLoader

La nouvelle version du ransomware télécharge et installe toujours le chargeur de démarrage JasperLoader (figure 9), qui peut être utilisé pour distribuer divers logiciels malveillants.

Figure 9. Extrait de trafic avec le code JasperLoader

Le chargeur de démarrage téléchargé est enregistré dans le fichier C: \ Users \ Public \ Libraries \ WindowsIndexingService.vbs et est ajouté aux tâches Windows planifiées en tant que WindowsApplicationService et au démarrage à l'aide de WindowsApplicationService.lnk.

Figure 10. Installation du chargeur de démarrage

Cryptage des données

En plus de voler les informations d'identification de l'utilisateur et d'installer un chargeur de démarrage, FTCODE chiffre les fichiers sur l'ordinateur de la victime. Cette étape commence par la préparation de l'environnement. Le ransomware utilise le fichier C: \ Users \ Public \ OracleKit \ quanto00.tmp pour stocker l'heure de sa dernière exécution. Par conséquent, la présence de ce fichier dans le système et son heure de création sont vérifiées. Si le fichier existe dans le système et que 30 minutes ou moins se sont écoulées depuis sa création, le processus se termine (figure 11). Ce fait peut être utilisé comme vaccin.

Figure 11. Vérification du temps écoulé depuis le dernier lancement du ransomware

Ensuite, à partir du fichier C: \ Users \ Public \ OracleKit \ w00log03.tmp, l'identifiant est lu - ou un nouveau est créé si le fichier est manquant.

Figure 12. Préparation de l'ID de la victime

Figure 13. Identification de la victime

Le ransomware génère ensuite des informations clés pour un chiffrement supplémentaire des fichiers.

Figure 14. Génération d'informations clés pour le chiffrement

Comme vous pouvez le voir dans le code, les informations nécessaires pour récupérer les données de la victime sont envoyées par la requête POST du protocole HTTP au nœud avec le domaine alimentaire [.] Kkphd [.] Com.

Figure 15. Fonction d'envoi des informations clés pour le chiffrement (déchiffrement)

En conséquence, si vous parvenez à intercepter le trafic qui contient le sel pour crypter les fichiers de la victime, vous pouvez récupérer indépendamment tous les fichiers sans transférer d’argent aux attaquants.

Figure 16. Informations clés interceptées

Pour le chiffrement, l'algorithme Rijndael est utilisé en mode CBC avec un vecteur d'initialisation basé sur la ligne BXCODE INIT et une clé obtenue à partir du BXCODE pirater votre mot de passe système et le sel qui a été généré précédemment.

Figure 17. Fonction de cryptage

Juste avant le début du chiffrement des fichiers, le signal «start» est envoyé dans la requête POST du protocole HTTP. Pendant le processus de chiffrement, si la taille du contenu du fichier source dépasse 40 960 octets, le fichier est tronqué à cette taille. Une extension est ajoutée aux fichiers, mais pas .FTCODE, comme dans les versions précédentes du ransomware, mais une qui a été générée aléatoirement plus tôt et qui a été envoyée au serveur attaquant comme valeur du paramètre ext.

Figure 18. Fichiers cryptés

Et après le protocole HTTP, la requête POST est envoyée avec un signal «terminé» et le nombre de fichiers cryptés.

Figure 19. Le code principal du chiffreur

Liste complète des extensions de fichier chiffrées sur l'ordinateur de la victime:

"* .sql"	"* .mp4"	"* .7z"	"* .rar"	"* .m4a"	"* .wma"
"* .avi"	"* .wmv"	"* .csv"	"* .d3dbsp"	"* .zip"	"* .sie"
"* .sum"	"* .ibank"	"* .t13"	"* .t12"	"* .qdf"	"* .gdb"
"* .tax"	"* .pkpass"	"* .bc6"	"* .bc7"	"* .bkp"	"* .qic"
"* .bkf"	"* .sidn"	"* .sidd"	"* .mddata"	"* .itl"	"* .itdb"
"* .icxs"	"* .hvpl"	"* .hplg"	"* .hkdb"	"* .mdbackup"	"* .syncdb"
"* .gho"	"* .cas"	"* .svg"	"* .map"	"* .wmo"	"* .itm"
"* .sb"	"* .fos"	"* .mov"	"* .vdf"	"* .ztmp"	"* .sis"
"* .sid"	"* .ncf"	"* .menu"	"* .layout"	"* .dmp"	"* .blob"
"* .esm"	"* .vcf"	"* .vtf"	"* .dazip"	"* .fpk"	"* .mlx"
"* .kf"	"* .iwd"	"* .vpk"	"* .tor"	"* .psk"	"* .rim"
"* .w3x"	"* .fsh"	"* .ntl"	"* .arch00"	"* .lvl"	"* .snx"
"* .cfr"	"* .ff"	"* .vpp_pc"	"* .lrf"	"* .m2"	"* .mcmeta"
"* .vfs0"	"* .mpqge"	"* .kdb"	"* .db0"	"* .dba"	"* .rofl"
"* .hkx"	"* .bar"	"* .upk"	"* .das"	"* .iwi"	"* .litemod"
"* .asset"	"* .forge"	"* .ltx"	"* .bsa"	"* .apk"	"* .re4"
"* .sav"	"* .lbf"	"* .slm"	"* .bik"	"* .epk"	"* .rgss3a"
"* .pak"	"* .big"	"* portefeuille"	"* .wotreplay"	"* .xxx"	"* .desc"
"* .py"	"* .m3u"	"* .flv"	"* .js"	"* .css"	"* .rb"
"* .png"	"* .jpeg"	"* .txt"	"* .p7c"	"* .p7b"	"* .p12"
"* .pfx"	"* .pem"	"* .crt"	"* .cer"	"* .der"	"* .x3f"
"* .srw"	"* .pef"	"* .ptx"	"* .r3d"	"* .rw2"	"* .rwl"
"* .raw"	"* .raf"	"* .orf"	"* .nrw"	"* .mrwref"	"* .mef"
"* .erf"	"* .kdc"	"* .dcr"	"* .cr2"	"* .crw"	"* .bay"
"* .sr2"	"* .srf"	"* .arw"	"* .3fr"	"* .dng"	"* .jpe"
"* .jpg"	"* .cdr"	"* .indd"	"* .ai"	"* .eps"	"* .pdf"
"* .pdd"	"* .psd"	"* .dbf"	"* .mdf"	"* .wb2"	"* .rtf"
"* .wpd"	"* .dxg"	"* .xf"	"* .dwg"	"* .pst"	"* .accdb"
"* .mdb"	"* .pptm"	"* .pptx"	"* .ppt"	"* .xlk"	"* .xlsb"
"* .xlsm"	"* .xlsx"	"* .xls"	"* .wps"	"* .docm"	"* .docx"
"* .doc"	"* .odb"	"* .odc"	"* .odm"	"* .odp"	"* .ods"
"* .odt"

Après avoir chiffré les fichiers, le fichier texte READ_ME_NOW.htm est créé sur l'ordinateur de la victime, ce qui explique ce qui doit être fait pour restaurer le contenu des fichiers.

Figure 20. Attaquer un attaquant

Comme vous pouvez le voir, un lien unique est créé pour chaque victime qui contient l'identifiant du fichier C: \ Users \ Public \ OracleKit \ w00log03.tmp, et s'il est endommagé ou supprimé, il existe un risque de ne pas récupérer les données chiffrées. Un lien avec un formulaire pour décrypter les fichiers et nécessitant une rançon est disponible sur ce lien dans le navigateur Tor Le rachat initial est de 500 $ et augmente avec le temps.

Figure 21. Demande de rachat

Arrêt

Une fois les fichiers de la victime chiffrés, FTCODE supprime les données qui pourraient être utilisées pour récupérer les fichiers chiffrés.

Figure 22. Suppression de données

Conclusion

Ce malware se compose d'un chargeur de démarrage sous forme de code VBS et d'une charge utile sous forme de code PowerShell. Une image JPEG est utilisée pour masquer l'infection. Les fonctions du logiciel malveillant consistent à installer le chargeur de démarrage JasperLoader bien connu et à crypter les fichiers de la victime pour obtenir une rançon, ainsi qu'à voler tous les comptes et mots de passe des navigateurs et des clients de messagerie courants.
La menace considérée est détectée par le système d'analyse du trafic réseau PT NAD sous le nom de FTCODE.

De plus, PT NAD stocke le trafic réseau, ce qui aidera à décrypter les fichiers des victimes de ce ransomware.

CIO

6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
bande [.] positivelifeology [.] com
mobi [.] confessyoursins [.] mobi
surv [.] surviveandthriveparenting [.] com
nourriture [.] kkphd [.] com

Publié par Dmitry Makarov, Positive Technologies

Le ransomware sans fichier FTCODE vole désormais les comptes