Вход
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7


Skype: softlist_ru

sales@softlist.biz
Работаем с 09:20 до 18:00 (МСК)
c понедельника по пятницу


Skype: softlist_ru

sales@softlist.biz
Работаем с 09:20 до 18:00 (МСК)
c понедельника по пятницу
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7
DanaBot - троян, эволюционировавший в вирус-вымогатель
DanaBot - троян, эволюционировавший в вирус-вымогатель

DanaBot - троян, эволюционировавший в вирус-вымогатель

По новой информации, сейчас, в вирус добавлен дополнительный модуль вымогатель, под названием NonRansomware. Исследователи интернет-безопасности, зафиксировали в начале мая, случаи использования вирусом именно этого модуля.

Схема действия шифровальщика такая: он просто блокирует и шифрует все файлы на локальном компьютере, кроме файлов, которые расположены с директории непосредственно операционной системы. Каждый файл шифруется отдельным потоком, при помощи AES128 алгоритма. После шифрования, все файлы получают расширение *.non, и кроме этого в каждую папку копируется файл с инструкциями по разблокировке файлов howtobackfiles.txt.

Но это не все. Кроме шифрования файлов, вирус заботится о том, чтобы пользователь не смог быстро отменить все действия и разблокировать файлы. Для этого, он помещает в папку Temp, исполняемый файл под названием b.bat. После создания, файл сразу же запускается. 

Эксперты проанализировали, какие действия выполняет созданный файл:


  • Отключает спящий режим, защитник Windows, и программы для удаленного доступа
  • Включает отображение скрытых файлов
  • Очищает корзину, удаляет логи и подчищает файл pagefile.sys
  • Удаляет копии файлов
  • Обходит политики PowerShell
  • Устанавливает запрет на запуск средств восстановления системы и логических дисков

Эксперты, уже успели изучить вирус и написать программу, для восстановления данных и расшифровки файлов. Как оказалось, мошенники не слишком старались, а просто скопировали фрагмент кода из открытых библиотек DEC (DelphyEncryptionCompendium). Более того, эксперты обнаружили в исходнике полную инструкцию, по процессу шифрования файлов, и записи о том, какие действия необходимо предпринять, для снятия блокировки на файлах.

Все оказалось достаточно просто. В коде, был найдет фрагмент, указывающий на случайное число, являющееся ключом, которое хранится в зашифрованных файлах, и генерируемый пароль, который создается для идентификации жертвы. Этот ID, представляет собой обычный набор символов, состоящих из серийного номера локального системного диска. Такой пароль легко подбирается с помощью брутфорса, но для этого требуется знать ИД жертвы, который можно найти в инструкции по разблокировке.

Исходя из всего вышесказанного, единственное, что нужно сделать, это запустить готовый DecodeFile, в который нужно вставить подобранный пароль.

DanaBot – по сути, представляет собой модульный вирус, типа троян, который написан на языке Delphi. Первые умоминания о нем исходят из Австралии из 2018 года. За полгода своего существования, вирус попал в европе, а точнее в Польшу, Австрию, Германию, Италию. Европейские компании, занимающиеся интернет-безопасностью, отмечают, что вирус имеет быстрое распространение, и благодаря модульности, может быстро расширять свой функционал. Кроме этого, почти любой человек может стать инициатором запуска данного вируса, потому что он распространяется по схеме MaaS – вредонос как услуга (Malware as a Service).

Примерно в сентябре прошлого года, вирус был замечен в мощных атаках на многие американские банки: TD Bank, Bank of America, JP Morgan Chase и др. Мошенники, решили распространять вредонос через электронную почту, маскируясь под сервис eFax, где в письме они оставляли ссылку на загрузку исполняемого файла.

Другим этапом эволюции вируса, стали улучшения в обмене данными с сервером, в январе 2019 года. Злоумышленники доработали свои алгоритмы и архитектуру, добавив многоэтапное шифрование, благодаря чему, антивирусам стало сложнее его обнаруживать.

Некоторые из функции, которые уже может выполнять DanaBot:


  • Кража логинов и паролей из браузеров
  • Кража данных криптокошельков
  • Инициализация и запуск прокси на компьютере жертвы
  • Запись видео с экрана и создание и отправка скриншотов
  • Удаленное обновление и выполнение команд на зараженном компьютере

Исходя из всего вышесказанного, можно понять, что перед нами достаточно серьезный вирус, который постоянно изменяется и улучшает свой функционал. Для того, чтобы не допустить заражения своего компьютер, нужно иметь полноценное всестороннее антивирусное решение, которые будет защищать от любых видов угроз. Советуем, присмотреться к решениям McAfee, и подобрать подходящий для себя вариант.