Недавно 360 Total Security  перехватил новый вымогатель MZRevenge, что использует метод потокового шифрования AES-256-CBC +. Зашифрованные файлы переименовываются, заканчиваясь суффиксом .MZ173801.

Технический анализ

Захваченный оригинальный образец —  троян-загрузчик, написанный на C #. Его функция очень проста — скачать и запустить вирус MZRevenge.

MZRevenge написан на языке Delphi и защищен с помощью оболочки VMProtect.

После запуска вирус просматривает и шифрует файлы на следующих дисках и в каталогах:

К зашифрованным файлам добавлен суффикс файлов в следующем списке:

При шифровании сначала вирус генерируют 16-байтовый ключ  случайным образом и используют режим потокового шифрования «одноразовый ключ». Первые 14 фиксированных байтов используются для генерации ключевого потока, а последние два байта используются для шифрования данных. Функция шифрования, как показано ниже:

Используется ключ шифрования AES-256-CBC, логика шифрования выглядит следующим образом:

Запишен зашифрованный ключ в файл Read_ME_PLS.txt. Жертвам предлагается заплатить выкуп в 300 долларов за восстановление зашифрованных данных. Сообщение подсказки выглядит следующим образом:

Советы по безопасности

1. Зайдите на www.360totalsecurity.com, вовремя загрузите и установите 360 Total Security, чтобы комплексно блокировать различные атаки вымогателей;
2. Администраторы корпоративного сервера должны быть внимательны к атакам со слабым паролем. Надо избегать использования одной учетной записи и пароля на нескольких компьютерах , обеспечивать длину и сложность паролей для входа и регулярно их заменять;
3. Общая папка с важными данными должна быть настроена с контролем доступа и регулярно создавана резервные копии;
4. Регулярно выявляйте уязвимости в системе и программном обеспечении и своевременно их исправите;
5. Пользователи должны загружать и устанавливать программное обеспечение по обычным каналам и использовать различные инструменты активации с осторожностью; в доверие не добавляйте незнакомое программное обеспечение, которое было перехвачено и уничтожено антивирусным программным обеспечением ;
6. Внимательно проверяйте электронные письма, отправленные незнакомцами и безопасность вложения перед открытием;
7. Атакованным пользователям следует немедленно подтвердить тип вируса-вымогателя и установить «Инструмет дешефр. ПО-вымогателей» через окно «Инструмент» 360 Total Security, а затем нажать «Сканировать сейчас», чтобы восстановить зашифрованные файлы.