Недавно 360 Total Security перехватил новый вымогатель MZRevenge, что использует метод потокового шифрования AES-256-CBC +. Зашифрованные файлы переименовываются, заканчиваясь суффиксом .MZ173801.
Технический анализ
Захваченный оригинальный образец — троян-загрузчик, написанный на C #. Его функция очень проста — скачать и запустить вирус MZRevenge.
MZRevenge написан на языке Delphi и защищен с помощью оболочки VMProtect.
После запуска вирус просматривает и шифрует файлы на следующих дисках и в каталогах:
К зашифрованным файлам добавлен суффикс файлов в следующем списке:
При шифровании сначала вирус генерируют 16-байтовый ключ случайным образом и используют режим потокового шифрования «одноразовый ключ». Первые 14 фиксированных байтов используются для генерации ключевого потока, а последние два байта используются для шифрования данных. Функция шифрования, как показано ниже:
Используется ключ шифрования AES-256-CBC, логика шифрования выглядит следующим образом:
Запишен зашифрованный ключ в файл Read_ME_PLS.txt. Жертвам предлагается заплатить выкуп в 300 долларов за восстановление зашифрованных данных. Сообщение подсказки выглядит следующим образом:
Советы по безопасности
- Зайдите на www.360totalsecurity.com, вовремя загрузите и установите 360 Total Security, чтобы комплексно блокировать различные атаки вымогателей;
- Администраторы корпоративного сервера должны быть внимательны к атакам со слабым паролем. Надо избегать использования одной учетной записи и пароля на нескольких компьютерах , обеспечивать длину и сложность паролей для входа и регулярно их заменять;
- Общая папка с важными данными должна быть настроена с контролем доступа и регулярно создавана резервные копии;
- Регулярно выявляйте уязвимости в системе и программном обеспечении и своевременно их исправите;
- Пользователи должны загружать и устанавливать программное обеспечение по обычным каналам и использовать различные инструменты активации с осторожностью; в доверие не добавляйте незнакомое программное обеспечение, которое было перехвачено и уничтожено антивирусным программным обеспечением ;
- Внимательно проверяйте электронные письма, отправленные незнакомцами и безопасность вложения перед открытием;
- Атакованным пользователям следует немедленно подтвердить тип вируса-вымогателя и установить «Инструмет дешефр. ПО-вымогателей» через окно «Инструмент» 360 Total Security, а затем нажать «Сканировать сейчас», чтобы восстановить зашифрованные файлы.