HavanaCrypt использует необычный способ шифрования данных, даже не требуя выкуп
https://www.securitylab.ru/upload/ib...54751b28f5.jpg
Новая программа-вымогатель распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который представляет собой обновление ПО Google. Вредоносное ПО использует open-source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».
«Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине», — пишут исследователи.
По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:<ul><li>проверяет службы в виртуальной машине (VMware Tools и vmmouse);</li>
</ul><ul><li>ищет файлы, связанные с приложениями ВМ;</li>
</ul><ul><li>ищет имена файлов, используемых ВМ для их исполняемых файлов;</li>
</ul><ul><li>просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.</li>
</ul>Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.
Вредоносная программа прерывает более 80 процессов, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.
Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.
HavanaCrypt собирает следующую информацию о системе:<ul><li>количество ядер процессора;</li>
</ul><ul><li>идентификатор и название чипа;</li>
</ul><ul><li>производитель и название материнской платы;</li>
</ul><ul><li>номер продукта и версия BIOS.</li>
</ul>Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» ​​к зашифрованным файлам. «HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки», - заключили исследователи.