Исследование показало весь процесс работы вайпера, которая приводит к переустановке Windows.
https://www.securitylab.ru/upload/ib...yexfbthnl.jpeg
Недавно обнаруженная программа-вымогатель Azov Ransomware по-прежнему активно распространяется по всему миру, и сейчас окончательно доказано, что она представляет собой средство очистки данных, которое преднамеренно уничтожает данные жертв и заражает другие программы.
Записка о выкупе выдавала операторов программы-вымогателя за исследователей кибербезопасности из BleepingComputer, MalwareHunterTeam и AdvIntel . Из-за того, что записка не содержала каких-либо контактов злоумышленников для оплаты выкупа, эксперты рассматривали это вредоносное ПО как вайпер, а не как программу-вымогатель.
На прошлой неделе исследователь безопасности Checkpoint Йиржи Винопал проанализировал Azov Ransomware и подтвердил, что эта вредоносная программа специально создана для повреждения данных.
В ходе экспериментов экперт выяснил, что вредоносная программа включает себя время срабатывания, которое заставляло ее бездействовать на устройствах жертвы до 27 октября 2022 года, 10:14:30 по всемирному координированному времени, что затем вызывало повреждение всех данных на устройстве.
Винопал сказал, что Azov перезаписывает содержимое файла и повреждает данные, чередуя 666-байтовые фрагменты ненужных данных. Каждый цикл ровно 666 байт перезаписываются случайными (неинициализированными данными), а следующие 666 байт остаются исходными.
Это работает в цикле, поэтому структура очищенного файла будет выглядеть так: 666 байт мусора, 666 байт оригинала, 666 байт мусора, 666 байт оригинала и т. д.
https://www.securitylab.ru/upload/im...t-img(713).png
Повреждение данных при чередовании 666 байтов
Более того, вайпер заражает другие 64-разрядные исполняемые файлы на устройстве Windows, у которых путь к файлу не содержит следующих строк:<ul><li>:\Windows</li>
</ul><ul><li>\ProgramData\</li>
</ul><ul><li>\cache2\entries</li>
</ul><ul><li>\Low\Content.IE5\</li>
</ul><ul><li>\User Data\Default\Cache\</li>
</ul><ul><li>Documents and Settings</li>
</ul><ul><li>\All Users</li>
</ul>При заражении исполняемого файла вредоносное ПО внедряет код, который вызывает запуск вайпера при запуске безобидного на первый взгляд исполняемого файла. Одни и те же шелл-коды, используемые для заражения, каждый раз кодируются по-разному.
Вредоносное ПО Azov было обнаружено в октябре, однако, только за один день на VirusTotal было загружено около 120 экземпляров
https://www.securitylab.ru/upload/im...t-img(714).png
Загрузки вредоносных файлов на VirusTotal
На данный момент причина распространения вайпера непонятна. Тем не менее, предположения экспертов начинаются от того, чтобы скрыть другое злонамеренное поведение или просто «поиграть» с сообществом кибербезопасности.
Стоит отметить, что жертвы Azov Ransomware не смогут восстановить свои файлы. А поскольку другие исполняемые файлы тоже заражаются, необходимо переустановить Windows, чтобы быть в безопасности.
Хотя вредоносное ПО названо в честь украинского военного полка «Азов», она, скорее всего, не связана с Украиной и просто использует это название для отвлечения внимания.