Шифровальщик как отвлекающий маневр

Шифровальщик HermeticRansom на самом деле используется в качестве отвлекающего маневра.

Шифровальщик HermeticRansom на самом деле используется в качестве отвлекающего маневра

Наши исследователи проанализировали зловред HermeticRansom, известный также как Elections GoRansom. По большому счету, это достаточно несложный шифровальщик. Но в данном случае интересна цель, с которой его применяют атакующие.

Цель шифровальщика HermeticRansom

HermeticRansom атаковал компьютеры одновременно с другим зловредом, известным как HermeticWiper — и судя по информации, собранной сообществом ИБ-экспертов, использовался в недавних кибератаках на Украине. По мнению наших экспертов, сравнительная простота и не самая эффективная имплементация зловреда говорит о том, что HermeticRansom применяли в качестве «дымовой завесы» для атак HermeticWiper.

Что делает HermeticRansom

Попав на компьютер жертвы, зловред для начала идентифицирует жесткие диски и собирает список директорий и файлов, расположенных везде, кроме корневых папок Windows и Program Files. Затем он шифрует файлы определенных категорий и переименовывает их, присоединяя к названию метку .encrypted и почтовый адрес вымогателей. Также зловред создает в папке Desktop файл read_me.html с запиской о выкупе и контактами злоумышленников. Записка выглядит следующим образом:

Записка о выкупе, оставляемая зловредом HermeticRansom

Записка о выкупе, оставляемая зловредом HermeticRansom

HermeticRansom интересуется файлами со следующими расширениями: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi и odt.

Особенности зловреда HermeticRansom

HermeticRansom написан на языке Golang. В нем не используются никакие механизмы обфускации, а сам применяемый метод шифрования достаточно громоздок и малоэффективен. Судя по этим и некоторым другим признакам, зловред создавался в спешке.

Более подробный технический разбор зловреда вместе с индикаторами компрометации можно найти в посте на нашем экспертном блоге Securelist.

Как оставаться в безопасности

Защитные решения «Лаборатории Касперского» успешно детектируют шифровальщик HermeticRansom и ему подобные угрозы. У нас есть ряд инструментов, позволяющих защитить как домашние компьютеры, так и корпоративную инфраструктуру. В том числе:

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.