Ransomware GarrantyDecrypt udaje SpyHuntera od EnigmaSoft

Nowa odmiana złośliwego oprogramowania stawia w złym świetle EnigmaSoft, ponieważ udaje program SpyHunter. Wiadomość informująca o okupie to kłamstwo, a niektóre z zaszyfrowanych plików można odzyskać.

„Tworzenie i usuwanie wirusów to nasze powołanie”

Analitycy firmy G DATA odkryli ransomware, które udaje program SpyHunter5 od EnigmaSoft. SpyHunter to narzędzie do ochrony przed złośliwym oprogramowaniem stworzone przez firmę EnigmaSoft. Ransomware wykorzystuje logo SpyHuntera jako swoją ikonę, a nazwa pliku to SpyHunter5.exe. Ponadto opiera się na właściwościach pliku również przypominających SpyHuntera.

Podczas gdy powszechną praktyką jest upodabnianie się przez złośliwe oprogramowanie do dobrze znanych programów w celu przyciągnięcia uwagi użytkowników, to ransomware idzie o krok dalej i udaje, że to faktycznie aplikacja SpyHunter zaszyfrowała system. Treść wiadomości informującej o okupie brzmi „Nasza firma SpyHunter gwarantuje odszyfrowanie twoich plików. Tworzenie i usuwanie wirusów to nasze powołanie”.

Grafika przedstawiająca wirusa

Zagrożenie to odmiana GarrantyDecrypt

Opisywane oprogramowanie typu ransomware reprezentuje rodzinę GarrantyDecrypt. Pierwszą wzmiankę o nim zamieścił Michael Gillespie na Twitterze w październiku 2018 roku.

Większość rodzin złośliwego oprogramowania typu ransomware posiada listę rozszerzeń plików umożliwiającą wyszukiwanie dokumentów osobistych, kopii zapasowych oraz zdjęć do zaszyfrowania. GarrantyDecrypt rzadko bierze na celownik wszystkie pliki, nie zwracając uwagi na ich rozszerzenia. Oznacza to, że zaszyfruje również na przykład pliki wykonywalne. Do zaszyfrowanych plików dodaje rozszerzenie „.spyhunter”, a w zaatakowanych folderach umieszcza notatkę $HOWDECRYPT$.txt z informacją o okupie.

Grafika przedstawiająca wirusa

Plik binarny ransomware jest spakowany z wykorzystaniem VB6.

Spakowany plik wykorzystuje mechanizm samodzielnego wykonania niespakowanej zawartości w sposób dynamiczny. W przeciwieństwie do starszych odmian GarrantyDecrypt (patrz lista IOC list) niespakowana próbka zawiera zaciemnione stringi, np. dla nazwy i zawartości informacji o okupie, oraz foldery niepodlegające szyfrowaniu. Stringi są dynamicznie odkodowywane.

Grafika przedstawiająca wirusa

GarrantyDecrypt wykorzystuje CryptoAPI i RSA. Lista funkcji importowanych z CryptoAPI znajduje się poniżej (utworzona przez PortexAnalyzer). Obecnie przeprowadzana jest szczegółowa analiza procesu szyfrowania.

Tak jak większość rodzin ransomware, oprogramowanie, z którym mamy tu do czynienia usuwa kopie woluminów w tle, tym samym uniemożliwiając odzyskanie plików.

Niektóre pliki da się odzyskać

Po wykonaniu wizualizacji zaszyfrowanych plików przy pomocy PortexAnalyzer zauważymy, że tylko nagłówek, a dokładniej pierwszych 0x2800 bajtów, jest zaszyfrowanych. Możliwe, że ransomware działa na takiej zasadzie po to, by przyspieszyć proces szyfrowania. Dla twórcy złośliwego oprogramowania taki skrót ma także swoje złe strony: masowe modyfikowanie nagłówków plików (np. z prędkością tysięcy na sekundę) może stanowić wskazówkę dla zainstalowanego oprogramowania zabezpieczającego.

Do pliku załączone są także pewne dane. Takie usługi, jak na przykład id-ransomware są w stanie zidentyfikować rodzinę GarrantyDecrypt w oparciu o dane w zaszyfrowanych plikach.

Grafika przedstawiająca wirusa

Programy do odzyskiwania plików mogą określić w tym przypadku oryginalny format plików oraz stworzyć dla nich poprawne nagłówki. W teście potwierdzającym takie założenie udało się odzyskać niektóre z zaszyfrowanych plików. Powodzenie takiego działania zależy w dużej mierze of formatu pliku.

Systemy w języku rosyjskim, ukraińskim oraz niektórych innych językach są bezpieczne

GarrantyDecrypt sprawdza domyślny język systemu. Jeśli jest to rosyjski, ukraiński, kazachski, białoruski lub tatarski, żadne pliki nie zostaną zaszyfrowane, a złośliwe oprogramowanie wyłączy się.

Grafika przedstawiająca wirusa

IO

Próbka GarrantyDecrypt przeanalizowana w artykule
SHA256730046dd331ffe44a007477287deaa4f600026acca1cb4fcbdbbcfc607aa0d9b
Wykrywana nazwaWin32.Trojan-Ransom.GarrantyDecrypt.A
Rozwinięcie pliku.spyhunter
Adres e-mail do kontaktu[email protected]
Nazwa plikuSpyHunter5.exe
Starsza odmiana GarrantyDecrypt dla porównania
SHA256                             5a8f6d1ea5dc2a1b8b65bdc33a62f6662b240d9b7219551f132fc6f5d6b92160
Wykrywana nazwaGeneric.Ransom.GarrantDecrypt.5BF25D46
Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...