Шифровальщик Bad Rabbit: Как происходит заражение

Как уже упоминалось, Bad Rabbit атаковал преимущественно пользователей из России и Восточной Европы через взломанные веб-сайты, которые показывали фальшивые предложения обновить Adobe Flash. Когда пользователь нажимал на эти уведомления, на компьютер загружался файл install_flash_player.exe.

Когда install_flash_player.exe запускался, он извлекал файл C:\Windows\infpub.dat и выполнял команду C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15.

Infpub.dat выполняется через Rundll32.exe

После исполнения Infpub.dat создает файлы C:\Windows\cscc.dat и C:\Windows\dispci.exe. Файл сscc.dat на самом деле является переименованной копией драйвера dcrypt.sys из DiskCryptor. Затем Infpub.dat создает службу Windows под названием Windows Client Side Caching DDriver, которая используется для запуска драйвера cscc.dat.

Infpub.dat также создает запланированную задачу, которая запускает файл dispci.exe, когда пользователь входит в систему. Эта задача называется Rhaegal, вероятно, в честь одного из драконов из “Игры престолов”. Эта запланированная задача выполняет команду “C:\Windows\dispci.exe” -id [id] && exit.

Запланированная задача

Драйвер cscc.dat вместе с файлом dispci.exe используется для шифрования диска и изменения основной загрузочной записи. Затем, когда жертва включает свой компьютер, отображается заметка с информацией по оплате выкупа.

Экран блокировки Bad Rabbit

После установки компонентов DiskCryptor, Infpub.dat также будет выполнять шифрование файлов в режиме пользователя на компьютере жертвы. Эти файлы будут зашифрованы с помощью алгоритма шифрования AES. Затем ключ шифрования AES, используемый для шифрования файлов, будет в свою очередь зашифрован с помощью открытого ключа RSA-2048. В настоящее время неизвестно, где хранится окончательный зашифрованный ключ, он может быть добавлен в зашифрованные файлы.

В отличие от других программ-вымогателей, когда Bad Rabbit зашифровывает файлы, он не добавляет новое расширение к имени зашифрованного файла. Тем не менее, он добавляет строку "encrypted" в конец каждого зашифрованного файла, как показано на скриншоте.

Encrypted File Marker

Интересно, что Infpub.dat также содержит возможность распространения через протокол SMB на другие компьютеры. Угроза пытается получить доступ к сетевым ресурсам через SMB через учетные данные, украденные с компьютера жертвы, или попробовав список включенных имен пользователей и паролей. Если шифровальщик сможет получить доступ к удаленному сетевому ресурсу, он скопирует себя и выполнит шифрование на другом компьютере.

Ниже приведены примеры SMB трафика:

SMB трафик

Наконец, Bad Rabbit создаст еще две запланированные задачи, которые используются для перезагрузки компьютера. Эти запланированные задания также названы в честь драконов из “Игры Престолов” - Drogon и Viserion. Эти задачи используются для выключения и перезагрузки компьютера с целью запуска других программ при входе в систему или, в конечном итоге, отображения экрана блокировки загрузки перед запуском Windows.

Как можно видеть, в Bad Rabbit заложено много различных функций, и ожидается, что они будут полностью раскрыты, так как различные эксперты по компьютерной безопасности занимаются анализом угрозы.

Технические данные шифровальщика Bad Rabbit

Хэш-суммы:

install_flash_player.exe: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
cscc.dat (dcrypt.sys): 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
dispci.exe: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Файлы, с которыми ассоцицирутся шифровальщик Bad Rabbit:

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat
C:\Windows\dispci.exe

Записи реестра, с которыми ассоцицируется шифровальщик Bad Rabbit:

HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type	1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start	0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl	3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath	cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName	Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group	Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService	FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64	1

Сообщение, которое показывает шифровальщик Bad Rabbit после блокировки компьютера:

Oops! Your files have been encrypted.

If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.

We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.

Visit our web service at caforssztxqzf2nm.onion

Your personal installation key#1:

Сетевая активность:

Local & Remote SMB Traffic on ports 137, 139, 445
caforssztxqzf2nm.onion

Расширения файлов, предназначенные для шифрования::

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

По материалам BleepingComputer