გამარჯობათ დიდი ხნის შემდგომ დავწერე სტატია ვირუსის ანალიზზე იმედია მოგეწონებათ
King Ouroboros - ეს ვირუსი მიეკუთვნება გამომძალველი ვირუსების ტიპს რომელიც შიფრავს თქვენს ფაილებს და უმატებს გაფართოებას .[ID = XXXXXXXXXX] [Mail=[email][email protected][/email]] .limbo და ითხოვს გამოსასყიდს რომელიც მოთავსებულია Read-Me-Now.txt, ფაილში
ფაილის ნიმუშები შეგიძლიათ ნახოთ ამ ბმულზე
ინფორმაცია ფაილის შესახებ
ფაილის სახელი : sample.exe
MD5 : 7ff6b1e1db4b9dd908b4ca8673fe1ae8
SHA-1 : d3af03c19aa5299cf2dbacb52a21cb940b9296e6
SHA-256 : 6bddeeae48703f18efe0317d69fa679dadb004134bd9bd2c2c0f1540b2f610ef
პროცესები
«sample.exe» ფაილი შესრულებისას შიფრავს ყველა ფაილს და სისტემში ქმნის პროცესს სახელად «uiapp.exe» რომელცი გამომძალველ პროგრამს უშვებს და ითხოვს თანხას.
ინფორმაცია
სიღრმისეული ანალიზი
ფაილი რომელიც ასრულებს შიფრაციას არის 32- ბიტიანი PE- ფაილი Windows ისთვის რომელის დაკომპილირებულია Visual C ++ ში
ფაილი შესრულებისას ითვლის ყველა დისკს სისტემაში.
შემდგომის იღებს ბიტურ მასკას რომელიც წარადგენს მისაწვდომ დისკებს ამ მომენტში
ხსნის ყველა ფაილს ლოგიკურ დისკზე.
შემდგომ ის შიფრავს ყველა მდებარე ფაილს იყენებს ნაკადოვან შიფრს რომელიც შეიცავს გადანაცვლებას და მრავალრიცხოვან გამონათვლებს.
შემდგომ ამატებს გაფართოებას . [id = XXXXXXXXXX] [Mail=[email]Decr[email protected][/email]] .limbo თითოეული ფაილისთვის
შიფრაციის შემდეგ იქმენბა ფაილი Read-Me-Now.txt რომელიშიც განტავსებულია ინფორმაცია თანხის გადახდის შესახებ
პროგრამა აგზავნის მოთხოვნას www[.]Sfml-dev[.]Org/ip-provider[.]Php
მიღებულ პასუხად კი ეს არის მსხვერპლის იპ მისამრთი
თითოეული კომპიტერისტვის იქმნება უნიკლაური გასაღები რომელიც იგზავნება ბოროტმოქმედის სერვერზე
და ასევე ტვირთავს და იყენებს ფაილებს FTP- სერვერიდან ამ მისმართზე 176 [.] 31 [.] 68 [.] 30.
ftp მომხამრებლის უსერი და პაროლი არის USER: «Admin», PASS: «Asmodeusasmodeus».
ის ტვირთავს uiapp.exe ს C: \\ ProgramData \.
ასრულებს ჩატვირთულ ფაილს ქმნის ახალ პროცესს
UIAPP.EXE
ინფორმაცაი ფაილზე
ფაილის სახელი: uiapp.exe
Creation Time Stamp : 01.08.2019 13:46:54
MD5 : 0db35c8f612f30b2eade689f2d5119a9
SHA-1 : 599db1e610b9541d1bde291dda32943e17b215be
SHA-256 : ac2c435634b60a4b1c6fa150c88c9d753ec3e1fd1c2a3690d2250416d1783b27
მე ადრევე მივირე წვდომა ფტპ სერვერიდან ფაილზე uiapp.exe
ფაილი წარმოადგენს .net PE ფაილს მე მოვახდინე დეკომპელაცია რომ მენახა რას შვრებოდა იგი მისი ფუნქციებიდან გამოდინარე ის უშვებს GUI- რომელიც ასრულებს Form1.
uiapp.exe, ფაილი მხოლოდ წარმადგენს ფანჯარას რომელიც გატყობინებთ შეტყობინებს რომ ფაილები დაშიფრულია და ფულია გდასახდელი.
მადლობა ყურადღებისთვის
King Ouroboros - ეს ვირუსი მიეკუთვნება გამომძალველი ვირუსების ტიპს რომელიც შიფრავს თქვენს ფაილებს და უმატებს გაფართოებას .[ID = XXXXXXXXXX] [Mail=[email][email protected][/email]] .limbo და ითხოვს გამოსასყიდს რომელიც მოთავსებულია Read-Me-Now.txt, ფაილში
ფაილის ნიმუშები შეგიძლიათ ნახოთ ამ ბმულზე
ინფორმაცია ფაილის შესახებ
ფაილის სახელი : sample.exe
MD5 : 7ff6b1e1db4b9dd908b4ca8673fe1ae8
SHA-1 : d3af03c19aa5299cf2dbacb52a21cb940b9296e6
SHA-256 : 6bddeeae48703f18efe0317d69fa679dadb004134bd9bd2c2c0f1540b2f610ef
პროცესები
«sample.exe» ფაილი შესრულებისას შიფრავს ყველა ფაილს და სისტემში ქმნის პროცესს სახელად «uiapp.exe» რომელცი გამომძალველ პროგრამს უშვებს და ითხოვს თანხას.
ინფორმაცია
- Drops file uiapp.exe, info.txt, Read-Me-Now.txt
- Drops file uiapp.exe in C:\\ProgramData\uiapp.exe (Hash : ac2c435634b60a4b1c6fa150c88c9d753ec3e1fd1c2a3690d2250416d1783b27)
- Drops info.txt in C:\\ProgramData\info.txt
- Drops file Read-Me-Now.txt
- Connects to the following URL’s
- www[.]sfml-dev[.]org/ip-provider[.]php
- 176[.]31[.]68[.]30 for ftp, tcp and http
- Passes FTP authentication credential in plaintext
- Traffic containing USER:admin PASS:asmodeusasmodeus to 176[.]31[.]68[.]30 on port 21
- Encrypts file with unique extension
- .[id=XXXXXXXXXX][Mail=[email][email protected][/email]].limbo
სიღრმისეული ანალიზი
ფაილი რომელიც ასრულებს შიფრაციას არის 32- ბიტიანი PE- ფაილი Windows ისთვის რომელის დაკომპილირებულია Visual C ++ ში
ფაილი შესრულებისას ითვლის ყველა დისკს სისტემაში.
შემდგომის იღებს ბიტურ მასკას რომელიც წარადგენს მისაწვდომ დისკებს ამ მომენტში
ხსნის ყველა ფაილს ლოგიკურ დისკზე.
შემდგომ ის შიფრავს ყველა მდებარე ფაილს იყენებს ნაკადოვან შიფრს რომელიც შეიცავს გადანაცვლებას და მრავალრიცხოვან გამონათვლებს.
შემდგომ ამატებს გაფართოებას . [id = XXXXXXXXXX] [Mail=[email]Decr[email protected][/email]] .limbo თითოეული ფაილისთვის
შიფრაციის შემდეგ იქმენბა ფაილი Read-Me-Now.txt რომელიშიც განტავსებულია ინფორმაცია თანხის გადახდის შესახებ
პროგრამა აგზავნის მოთხოვნას www[.]Sfml-dev[.]Org/ip-provider[.]Php
მიღებულ პასუხად კი ეს არის მსხვერპლის იპ მისამრთი
თითოეული კომპიტერისტვის იქმნება უნიკლაური გასაღები რომელიც იგზავნება ბოროტმოქმედის სერვერზე
და ასევე ტვირთავს და იყენებს ფაილებს FTP- სერვერიდან ამ მისმართზე 176 [.] 31 [.] 68 [.] 30.
ftp მომხამრებლის უსერი და პაროლი არის USER: «Admin», PASS: «Asmodeusasmodeus».
ის ტვირთავს uiapp.exe ს C: \\ ProgramData \.
ასრულებს ჩატვირთულ ფაილს ქმნის ახალ პროცესს
UIAPP.EXE
ინფორმაცაი ფაილზე
ფაილის სახელი: uiapp.exe
Creation Time Stamp : 01.08.2019 13:46:54
MD5 : 0db35c8f612f30b2eade689f2d5119a9
SHA-1 : 599db1e610b9541d1bde291dda32943e17b215be
SHA-256 : ac2c435634b60a4b1c6fa150c88c9d753ec3e1fd1c2a3690d2250416d1783b27
მე ადრევე მივირე წვდომა ფტპ სერვერიდან ფაილზე uiapp.exe
ფაილი წარმოადგენს .net PE ფაილს მე მოვახდინე დეკომპელაცია რომ მენახა რას შვრებოდა იგი მისი ფუნქციებიდან გამოდინარე ის უშვებს GUI- რომელიც ასრულებს Form1.
uiapp.exe, ფაილი მხოლოდ წარმადგენს ფანჯარას რომელიც გატყობინებთ შეტყობინებს რომ ფაილები დაშიფრულია და ფულია გდასახდელი.
მადლობა ყურადღებისთვის
