. NET-baserade Ransomware familjer kryptera användarnas filer via Open Source databaser

Computer Security News

Zscaler säkerhetsexperter varnar att två nyligen hittade. NET-baserade ransomware familjer krypterar användarnas filer genom att använda öppen källkod.

Malware familjer kallas Vortex och BUGWARE och de har noterats i levande attacker genomförs via spam-mail som innehåller skadliga webbadresser.

Vortex och BUGWARE sammanställs både i Microsoft Intermediate Language (MSIL) och har varit fylld med så kallade ‘Confuser’ förpackaren.

Enligt Zscalers analys, Vortex är skriven på polska och den använder AES-256 kryptering för att kryptera bild, ljud, video, dokument och andra potentiellt viktiga datafiler på offrets dator.

På motsvarande sätt till de andra ransomware varianterna droppar Vortex ett hotbrev så snart den har slutfört krypteringsprocessen att informera brottsoffret om hur de kan återställa sina data och hur man skicka lösen betalningen.

Ransomware användarna kan dekryptera två av sina filer gratis och kräver en $100 ransom, vilket troligen ökar till $200 i fyra dagar. Malware offren ombeds kontakta hackare via Hc9@2.pl eller Hc9@goat.si e-postadresser.

Installeras på systemet, försöker Vortex ransomware nå uthållighet genom att skapa en registerpost, samt en registernyckel med namnet ”AESxWin”. Dessutom märktes malware ta bort skuggkopior som hindrar användare från att återställa sina data utan att betala lösen.

Under malware’s kommando och kontroll (C & C) kommunikation analys fläckig säkerhetsexperter malware skicka Systeminformation och begära ett lösenord API som används för kryptering och dekryptering nyckeln.

Enligt Zscaler, Vortex ransomware är baserad på AESxWin – ett freeware kryptering och dekryptering verktyg värd på GitHub och utvecklats av egyptiska utvecklaren Eslam Hamouda. Därför kan krypterade filer dekrypteras med AESxWin om lösenord som används för kryptering är känd.

BUGWARE ransomware är baserad på öppen källkod dolda Riva kod, som har utnyttjats för att skapa andra ransomware familjer för en tid sedan.

BUGWARE använder också ett ogiltigt certifikat som låtsas vara för GAS INFORMATICA LTDA, frågar sina offer att betala motsvarande tusen brasilianska real i Monero.

Ransomware gör en lista över sökvägar till krypterar och lagrar den i en fil med namnet Criptografia.pathstoencrypt och söker efter alla fasta och flyttbara enheter, lägga till alla de sökvägarna i listan.

Experterna har också märkt att BUGWARE generera krypteringsnyckeln med AES 256-bitars algoritm för att kryptera användarnas filer, samt och döpa de krypterade filerna. Nyckeln AES krypteras också, med en offentliga RSA-nyckel, och base64-kodat nyckeln sparas i registret.

För att uppnå persistens, skapar BUGWARE ransomware en kör nyckel som säkerställer den körs varje gång användaren loggar in på datorn. Om det skadliga programmen upptäcker alla flyttbara enheter, droppar det en kopia av sig själv på dem, med namnet ”faktura-vencida.pdf.scr”.

Dessutom ändras BUGWARE offrets desktopen bakgrunden med bildfiler som hämtat från ”i[.]imgur.com/NpKQ3KZ.jpg”.


Leave a Reply

Your email address will not be published. Required fields are marked *