Кратък анализ на CryptoLocker RansomWare

CryptoLocker е писан, да работи на стандартни потребителски акаунти без привилегии, и няма нужда от административни права, за да може да се запише за автоматично стартиране, и да работи безпроблемно и неограничено, и да прави каквото си иска, и както си иска.

Основният му файл, и в папката на потребителя. Докато си играех с него, на моя компютър, папката му беше c:\users\diabolik\appdata\local

След стартирането си, веднага си слага произволно име. Мострата,с която си играх, дойде с име Vcffipzmnipbxzdl.exe, и веднага след стартирането, този файл изчезна, и се появи негово копие в с:\users\diabolik\appdata\local с името Kikxhmreyzanzznxdxf.exe.

Имайте предвид че това са произволни имена, и че на всеки компютър, имената ще са различни.

Файла се скрива от поглед со командата Attrib +h +s

Навсякъде, се представя като CryptoLocker - Success ato - by Bronto Software company

Записва се в регистри в HKEY_Current_User, в hive на текущият потребител, за да се избегне нуждата от администраторски акаунт. Точният път в който се записва е:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

И двата записа, водят към
c:\users\diabolik\appdata\local\Kikxhmreyzanzznxdxf.exe

Опитва се да се прикрие, като при своето стартиране, премахва записите си от регистри, и при рестартиране на уиндоус, или при спирането му, си ги слага обратно в последния момент.

Ако заразеният компютър, няма достъп до интернет, CryptoLocker е безобиден, и много лесен, за премахване.

Ако зараеният компютър, има достъп до интернет, дупе да ви е яко, и портфела да ви е дебел, защото откупа, за да ви върне файловете е 10 Биткойн, и дедо боже не може да ви помогне. Дано имате читав бекъп. Ако имате то си е във ваш плюс, ако нямате то си е ваш проблем, и ваше притеснение.

CryptoLocker шифрова файловете на компютъра жертва, след което изнудва собственика за паричен откуп срещу който ще дешифрова файловете. Проблемът е там, че CryptoLocker шифрова всичко което се вижда в Windows explorer и My computer включително шернати по мрежата файлове, мрежови ресурси, мрежови устройства всякакви hoem network устройства видими, ако имате NAS в локалната мрежа, който е достъпен в my computer или windows explorer като network device също ще пострада от CryptoLocker. Cloud Storage – Google Drive, Microsoft skydrive, amazon S3, JungleDisk, SpiderOak и другите като тях също са уязвими от CryptoLocker,защото са видими в Windows explorer и my computer.

В случай че имате интернет, дупе да ви е яко, защото това чудо използва, WindowsCryptoAPI, за да направи TLS 1.2 RSA 2048 битова PKI връзка с команд и контрол, като Cryptolocker има публичния ключ, а коман и контрол, има частния. Веднъж връзката установена, кояот всеки път е към различен домейн, прави защитена обмяна на криптоключ по метода на Дифи и Хелман, с която прехвърля 256 битов криптоключ, който се използва, за шифроване на файловете на диска ви, с AES 256 битов алгоритъм. Разбира се пак се използва WindowsCryptoAPI за целта.

Ако го хванете преди да вие шифровал файловете, всичко точно, можете изключително лесн да се оттървете от тази напаст, но ако го изпуснете, да ви шифрова диска, сасение няма. Или трябва да платите откупа, в размер на 10 биткойн, за да си върнете файла, или.... както казах дупе да вие яко, и дано да имате читав бекъп.

Обръщенията към WindowsCryptoAPI се през следните места в регистри:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0

HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0\Image Path

HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0\Type

HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider

HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider\Type

HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider\Image Path

Билбиотеките в WindowsCryptoAPI към които се обръща са:

За TLS 1.2 RSA 2048 bits PKI връзка:
C:\Windows\SysWOW64\rsaenh.dll

За локалното AES 256 bits криптиране на хард диска:
Използва библиотеките дефинирани в
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider

Настройките за достъп до интернет, ги копира от тези зададени на потребителя в интернет експлорер.

Cryptolocker отказва да направи незащитена връзка с команд и контрол

Диагностика и премахване.
Интересното е че не се опитва да се крие като DLL подпроцес в някой процес, а просто си отваря нов собствен процес, с името на файла на хард диска, и този процес, си отваря собствен подпроцес със същото име. И двата процеса се представят като CryptoLocker - Success ato - by Bronto Software company

Спиране на процеса е лесно. Ако спрете само основния или дъщерния процес, този който е останал, ще стартира тоя който е спрян, но ако изберете спирането на цялото дърво на процеса, и изберете основния процес, това ще спре едновременно основния и дъщерния процес, при това, ПРЕДИ да може да си възстанови autorun ключовете в регистри. Тоест, вече сте победили CryptoLocker. При рестарт ще си остане един инертен файл на диска. Ако сте по-ербап, просто изтриите файла от папката на потребителя, и цялата драма, е окончателно приключена.

Откриването на autorun locations за CryptoLocker е малко по-трудно, тъй като файла е маркиран като SafeBoot и се стартира в режими:
Safe Mode
Safe Mode with VGA
Safe Mode with Networking

Заради това че CryptoLocker в тези режими се стартира, той си премахва autorun locatons и те пак няма да се видят

Но не се стартира в режим:
Safe Mode with comamnd prompt

Това е най-лекият и най-простият режим. Тук CryptoLocker не се стартира, и съответно autorun locations остават на място. С ръчното стартиране на sysinternals autoruns от командния промпт, можетеда видите точните autorun locations на cryptolocker и да ги премахнете.

Всички методи за премахване, важат само и единствено ако CryptoLocker не е шифровал файловете ви.

Ако ги е шифровал, и да го махате, и да не го махате, все си губите шифрованите файлове, така че все тая. Ако нямате читав бекъп, дупе да ви е яко, и портфела да ви е дебел, защото откупа, за да ви върне файловете е 10 Биткойн.