Vi ser en ökad trend av s k Ransomware och nyttjande av e-post för att infektera användares datorer.

En ny variant av CryptoWall Ransomware siktades idag och kom via e-post. Brevet innehåller en bifogad ZIP-fil, som i sin tur innehåller ett JavaScript. Utformningen av brevet är så att mottagaren har goda skäl att öppna innehållet, t ex en arbetsansökan till en personalavdelning.

JavaScriptet är skrivet så att det är svårt att tolka (Obfuscation)

cropped javascript

 

 

JavaScriptet exekveras och ansluter till en webbserver på domänen dorttlokolrt.com (IP 89.209.117.9) via TCP port 80 (HTTP). Därifrån laddas två filer ned med namnen one.jpg och two.jpg.

cropped download

I själva verket är dessa filer EXE-filer, vilket visas när man öppnar dem i en hex-editor och ser en MZ  header och det välkända meddelandet ”This program cannot run in DOS mode”…

cropped exe

Filerna sparas med till synes slumpartade namn och exekveras i användarens profil-mappcropped appdata

 

Vid exekvering krypteras dokument, både lokalt och på mappade nätverksenheter. I de kataloger som krypterats finner man sedan olika filer med instruktioner om hur man får tillbaka sina krypterade filer genom att betala en lösensumma. Instruktionerna behövs då man måste ladda ned programvara för TOR och sedan ansluta till en specifik adress. Klassiskt Ransomware alltså.

Krypterade filer behåller sina filnamn samt fildatum. Detta gör det mycket svårt att hitta vilka filer som har krypterats, särskilt i en stor filarea med många filer. Enda kännetecknet är om man kan hitta filerna HELP_DECRYPT.PNG, HELP_DECRYPT.TXT eller HELP_DECRYPT.URL.

Öppnar man upp HELP_DECRYPT.PNG ser man följande (klicka på bilden för att få den större):

HELP_DECRYPT

 

 

 

 

 

JavaSkriptet hittas av 18 av 56 AV leverantörer på virustotal.com och de två exe filerna hittas endast av 3 av 56 AV leverantörer. NSEC har skickat in prover på alla filer till våra AV leverantörer. När brevet skickades så hittade troligen mycket färre AV leverantörer det vid tidpunkten, vilket gör det lätt att slinka förbi mejlfilter.

Rekommendationer för att undvika att drabbas av CryptoWall 3.0 Ransomware:

– blockera JavaSkript filer (JS*, JS, JSE etc) i mejlfilter, både på filnamn och typ om möjligt
– blockera ovanstående även om det kommer i en ZIP-fil, se till att filtret kontrollerar filtyper i arkiv.

Uppdatering:

– McAfee klassar domänen som ”malicious sites” och ”high risk”. (MWG, SaaS Web, SiteAdvisor). IP-adressen rapporterad till McAfee.

– Fortinet klassar domänen och IP-adressen som ”Malicious websites”

Läs mer om vad andra säger om denna nya variant av Cryptowall Ransomware:

http://www.pcworld.com/article/2868972/cryptowall-ransomware-is-back-with-new-version-after-two-months-of-silence.html

http://researchcenter.paloaltonetworks.com/2015/02/analysis-cryptowall-3-0-dyre-i2p/

https://isc.sans.edu/forums/diary/Traffic+Patterns+For+CryptoWall+30/19203/

https://www.virustotal.com/en/file/45317968759d3e37282ceb75149f627d648534c5b4685f6da3966d8f6fca662d/analysis/

 

mvh

NSEC