W lutym 2016 roku Internetem wstrzÄ…snęła epidemia wywoÅ‚ana nowym trojanem wyÅ‚udzajÄ…cym okup: Locky (wykrywanym przez produkty firmy Kaspersky Lab jako Trojan-Ransom.Win32.Locky). Trojan ten aktywnie rozprzestrzenia siÄ™ do dnia dzisiejszego. Produkty firmy Kaspersky Lab zarejestrowaÅ‚y próby zainfekowania użytkowników tym trojanem w 114 krajach na caÅ‚ym Å›wiecie.    

Z analizy próbek wynika, że trojan ten to całkowicie nowe zagrożenie typu ransomware, które zostało napisane od zera. A zatem, czym jest Locky i jak możemy się przed nim zabezpieczyć?

Rozprzestrzenianie

W celu rozprzestrzeniania tego trojana cyberprzestępcy rozsyłają masowe wysyłki z załączonymi szkodliwymi programami ładującymi.

Początkowo, szkodliwe wiadomości spamowe zawierały załączony plik DOC z makrem, które pobierało trojana Locky ze zdalnego serwera i wykonywało go.

Wiadomość spamowa z załączonym szkodliwym dokumentem

Fragment szkodliwego makra

Produkty firmy Kaspersky Lab wykrywajÄ… pliki zawierajÄ…ce szkodliwe makra jako Trojan-Downloader.MSWord.Agent oraz HEUR:Trojan-Downloader.Script.Generic.

Należy zauważyć, że we współczesnych wersjach Microsoft Office automatyczne wykonywanie makr jest wyÅ‚Ä…czone ze wzglÄ™dów bezpieczeÅ„stwa. Jednak doÅ›wiadczenie pokazuje, że użytkownicy czÄ™sto wÅ‚Ä…czajÄ… makra rÄ™cznie, nawet w dokumentach z nieznanych  źródeÅ‚, co może mieć destrukcyjne konsekwencje.  

W momencie pisania tego tekstu szkodliwy spam nadal jest rozsyÅ‚any, jednak zamiast zaÅ‚Ä…czonych plików DOC stosowane sÄ… obecnie archiwa ZIP zawierajÄ…ce jeden lub wiÄ™cej zaciemnionych skryptów w JavaScript. WiadomoÅ›ci sÄ… pisane w wiÄ™kszoÅ›ci w jÄ™zyku angielskim, chociaż pojawiÅ‚y siÄ™ również wersje dwujÄ™zyczne.  

Wiadomość spamowa w j. angielskim z załączonym archiwum

Wiadomość w j. niemieckim i angielskim z załączonym archiwum

Użytkownikowi proponuje się ręczne uruchomienie skryptów.

Zawartość archiwum załączonego do wiadomości

Fragment zarchiwizowanego skryptu

Po uruchomieniu skrypt pobiera trojana Locky ze zdalnego serwera i uruchamia go.

Produkty firmy Kaspersky Lab wykrywajÄ… te programy Å‚adujÄ…ce skrypty jako Trojan-Downloader.JS.Agent i HEUR:Trojan-Downloader.Script.Generic.

Geografia ataków

Kaspersky Security Network zarejestrował ataki trojana Locky w 114 krajach. Poniżej znajduje się lista państw, w których trojan ten był najczęściej wykrywany:

Należy zauważyć, że statystyki te dotyczą jedynie przypadków, w których został wykryty rzeczywisty trojan, i nie obejmują wykryć na wczesnym etapie identyfikowanych jako szkodliwy spam lub szkodliwy downloader.

Geografia ataków programu o nazwie Trojan-Ransom.Win32.Locky

Jak widać, opisywany trojan przeprowadza ataki w praktycznie wszystkich regionach świata. Na podstawie listy języków obsługiwanych na stronie umożliwiającej zapłatę okupu (zobacz szczegóły poniżej) możemy określić, które państwa traktowane są przez cyberprzestępców jako główne cele.

Jak to działa

Trojan Locky to plik wykonywalny o rozmiarze okoÅ‚o 100 kilobajtów. ZostaÅ‚ napisany w jÄ™zyku C++  przy użyciu STL i skompilowany w Microsoft Visual Studio. Podczas uruchomienia kopiuje siÄ™ do %TEMP%\svchost.exe i usuwa strumieÅ„ danych NTFS Zone.Identifier ze swojej kopii - w ten sposób po uruchomieniu pliku Windows nie wyÅ›wietli komunikatu informujÄ…cego, że plik ten zostaÅ‚ pobrany z internetu i może być potencjalnie niebezpieczny. NastÄ™pnie trojan uruchamia siÄ™ z lokalizacji %TEMP%.   

Po uruchomieniu trojan sprawdza, czy istniejÄ… poniższe klucze rejestru i jaka jest ich zawartość. 

Jeśli w kluczach rejestru istnieją już dane (jest tak, w przypadku gdy trojan ten uruchomił się już wcześniej, ale jego poprzednia sesja z jakiegoś powodu nie powidła się), Locky odczytuje te dane i kontynuuje proces infekcji.

Jeśli uruchamia się po raz pierwszy, trojan wykonuje następujące działania:

1. Kontaktuje się z serwerem kontroli (C&C) i zgłasza infekcję;
2. Otrzymuje publiczny klucz RSA-2048 i ID infekcji z serwera kontroli, zapisuje te dane w rejestrze;
3. WysyÅ‚a informacje dotyczÄ…ce jÄ™zyka zainfekowanego systemu operacyjnego, otrzymuje tekst żądania okupu od cyberprzestÄ™pców, który zostanie wyÅ›wietlony ofierze, zapisuje tekst w rejestrze;   
4. Szuka plików o określonych rozszerzeniach na dyskach lokalnych, szyfruje je;
5. Usuwa kopie plików;
6. Rejestruje siÄ™ w celu automatycznego uruchomienia siÄ™ (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run);
7. Szuka i szyfruje pliki z okreÅ›lonymi rozszerzeniami na dyskach sieciowych i w sieciowych zasobach plików bez przydzielonego symbolu dysku; 
8. Wyświetla ofierze żądania okupu od cyberprzestępców;
9. Kończy swój proces i usuwa własne dane z systemu.

Fragment kodu określającego język systemu operacyjnego

Szyfrowanie pliku

Trojan szuka plików odpowiadających danej liście rozszerzeń. Następnie pliki są szyfrowane w sposób opisany poniżej.

Lista rozszerzeń plików, które podlegają szyfrowaniu

Dla każdego pliku, który odpowiada rozszerzeniu znajdujÄ…cemu siÄ™ na liÅ›cie, trojan generuje nowy klucz 128-bitowy i szyfruje zawartość pliku przy użyciu algorytmu AES-128 w trybie CTR. Zaszyfrowany plik otrzymuje nazwÄ™ <identyfikator skÅ‚adajÄ…cy siÄ™ z 16 znaków HEX><16 losowych znaków HEX>.locky. NastÄ™pnie na koniec pliku dodawana jest nastÄ™pujÄ…ca struktura:     

Struktura dodawana przez trojana na koniec zaszyfrowanego pliku

W składni języka C strukturę tę można opisać w następujący sposób:

Dołączona struktura opisana w składni języka C

Żądania okupu

Po zaszyfrowaniu plików użytkownika trojan wyÅ›wietla nastÄ™pujÄ…cy komunikat z żądaniem okupu od cyberprzestÄ™pców. 

Żądanie okupu w j. angielskim

Żądanie okupu w j. niemieckim

Komunikat dotyczący okupu zawiera adres "tajnego serwera" cyberprzestępców, na którym umieścili oni informacje dotyczące okupu żądanego za program deszyfrujący. Wszystkie cztery odsyłacze w wiadomości prowadzą do tej samej strony internetowej w sieci Tor.

Podczas wcześniejszych kampanii spamowych strona umożliwiająca zapłatę okupu wyglądała tak:

Wczesna wersja strony dotyczącej żądania okupu trojana Locky

Na stronie tej cyberprzestępcy sugerowali, aby ofiary płaciły w bitcoinach w celu odszyfrowania zaszyfrowanych plików na swoich komputerach. Przedstawiali również swoje zalecenia odnośnie tego, gdzie i jak uzyskać tę kryptowalutę.

Zawartość i rozkład strony zmieniały się z czasem. Obecnie strona ta jest dostępna w ponad 20 językach (wybór języka następuje z listy rozwijalnej) i wygląda tak:

Najnowsza wersja strony umożliwiającej zapłacenie okupu żądanego przez trojana Locky

JeÅ›li rzucimy okiem na kod źródÅ‚owy tej strony, zauważymy peÅ‚nÄ… listÄ™ obsÅ‚ugiwanych jÄ™zyków. CyberprzestÄ™pcy naturalnie traktujÄ… paÅ„stwa odpowiadajÄ…ce tych jÄ™zykom jako główne cele tego trojana ransomware. Co ciekawe, lista nie zawiera jÄ™zyka rosyjskiego oraz innych jÄ™zyków krajów należących do Wspólnoty NiepodlegÅ‚ych PaÅ„stw. Z jakiegoÅ› powodu cyberprzestÄ™pcy nie chcÄ… atakować użytkowników w paÅ„stwach, w których mieszkaÅ„cy posÅ‚ugujÄ… siÄ™ tymi jÄ™zykami - co potwierdzajÄ… statystyki KSN. 

Lista języków obsługiwanych przez stronę umożliwiająca zapłacenie okupu żądanego przez trojana Locky

Komunikacja z C&C

Kod trojana zawiera od jednego do trzech adresów IP C&C. Ponadto, kod ten zawiera algorytm generujący nowe adresy C&C (DGA, domain generation algorithm) w zależności od bieżącego dnia, miesiąca i roku. Przy użyciu tego algorytmu każdego dnia generowanych jest sześć adresów C&C. Pseudokod ilustrujący algorytm DGA Locky'ego został zaznaczony na zrzucie ekranu poniżej.

Pseudokod algorytmu generowania domeny C&C trojana Locky

Komunikacja z C&C nastÄ™puje przy użyciu protokoÅ‚u HTTP. Trojan wysyÅ‚a żądanie POST do adresu w formacie http://<cnc_url>/main.php; przesyÅ‚ane dane sÄ… szyfrowane przy pomocy prostego algorytmu symetrycznego.    

Przyjrzyjmy się możliwym rodzajom przesyłanych parametrów.

1. Powiadomienie o infekcji i żądanie klucza.
   id=<id infekcji>
   &act=getkey&affid=<id partnera zapisany w kodzie trojana>
   &lang=<język systemu operacyjnego>
   &corp=<informacja o tym, czy trojan działa w korporacyjnej wersji systemu operacyjnego>
   &serv=<informacja o tym, czy trojan działa w serwerowej wersji systemu operacyjnego>
   &os=<wersja systemu operacyjnego>
   &sp=<wersja dodatku service pack systemu operacyjnego>
   &x64=<informacja o architekturze systemu operacyjnego - 32- lub 64-bity>

Sądząc po parametrze affid, Locky jest dystrybuowany za pośrednictwem programu afiliowanego lub partnerskiego.

2. Wysyłanie listy zaszyfrowanych ścieżek.
   id=<id infekcji>
   &act=report&data=<lista ścieżek>

Dla każdego obsÅ‚użonego napÄ™du trojan wysyÅ‚a do C&C listÄ™ wszystkich Å›cieżek do wszystkich zaszyfrowanych plików. 

3. Wysyłanie statystyk dla każdej obsłużonej stacji stacji dysków.
   id=<id infekcji>
   &act=stats&path=<ścieżka>
   &encrypted=<liczba zaszyfrowanych plików>
   &failed=<liczba błędów>
   &length=<łączny rozmiar zaszyfrowanych plików>

Należy zauważyć, że cyberprzestÄ™pca gromadzi bardzo szczegółowe dane statystyczne dla każdej infekcji. Inne, wczeÅ›niej analizowane rodziny oprogramowania ransomware nie byÅ‚y tak skrupulatne jeÅ›li chodzi o gromadzenie statystyk.  

Åšrodki ochrony

Produkty firmy Kaspersky Lab zapewniajÄ… ochronÄ™ przed trojanem ransomware Locky na wszystkich etapach ataku:  

• ModuÅ‚ antyspamowy wykrywa wiadomoÅ›ci e-mail wysyÅ‚ane przez dystrybutorów trojana;
• Programy Å‚adujÄ…ce skrypty sÄ… wykrywane przez statyczne i heurystyczne sygnatury ochrony poczty e-mail i plików za pomocÄ… werdyktów: Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent, HEUR:Trojan-Downloader.Script.Generic; 
• Plik wykonywalny trojana jest wykrywany przez sygnatury ochrony antywirusowej plików jako Trojan-Ransom.Win32.Locky; 
• Nieznane próbki trojana Locky sÄ… proaktywnie wykrywane przez moduÅ‚ Kontroli systemu przy użyciu werdyktu PDM:Trojan.Win32.Generic. 

Zapobieganie infekcjom

Locky to typowy trojan ransomware, który nie różni siÄ™ znaczÄ…co od innych rodzin oprogramowania ransomware pod wzglÄ™dem wewnÄ™trznej organizacji czy zasad dziaÅ‚ania. Mimo to przykuÅ‚ uwagÄ™ badaczy, ze wzglÄ™du na dużą aktywność i szerokie rozpowszechnienie. WedÅ‚ug danych KSN, produkty Kaspersky Lab zablokowaÅ‚y ataki trojana Locky w ponad 100 paÅ„stwach na caÅ‚ym Å›wiecie - jak dotÄ…d żaden inny trojan ransomware nie przeprowadziÅ‚ ataków w tak wielu paÅ„stwach jednoczeÅ›nie.          

W celu zabezpieczenia się przed tym trojanem ransomware należy podjąć następujące środki zapobiegawcze:

• Nie otwieraj zaÅ‚Ä…czników w e-mailach pochodzÄ…cych od nieznanych nadawców;
• Regularnie wykonuj kopiÄ™ zapasowÄ… swoich plików i przechowuj kopie zapasowe na wymiennych noÅ›nikach pamiÄ™ci lub w chmurze - nie trzymaj ich na swoim komputerze;
• Regularnie stosuj uaktualnienia dla swoich antywirusowych baz danych, systemu operacyjnego oraz innego oprogramowania zainstalowanego na komputerze;
• W ramach zarzÄ…dzania dostÄ™pem do współdzielonych folderów sieciowych utwórz oddzielny folder sieciowy dla każdego użytkownika.

Bardziej szczegółowe informacje dotyczące ochrony przed trojanami ransomware są dostępne na tej stronie.

ŹródÅ‚o: Kaspersky Lab