Οι ερευνητές ασφαλείας της Trend Micro εντόπισαν μια νέα οικογένεια ransomware που παραδίδεται ως ψεύτικη εφαρμογή Google Software Update.
Με το όνομα HavanaCrypt, το ransomware εκτελεί πολλαπλούς ελέγχους κατά της εικονικοποίησης και χρησιμοποιεί μια διεύθυνση IP υπηρεσίας φιλοξενίας ιστού της Microsoft για τον διακομιστή εντολών και ελέγχου (C&C), που του επιτρέπει να αποφύγει τον εντοπισμό.
Κατά την ανάλυσή τους για το HavanaCrypt, η Trend Micro ανακάλυψε επίσης ότι χρησιμοποιεί μια συνάρτηση μεθόδου χώρου ονομάτων που θέτει σε ουρά μια μέθοδο για εκτέλεση και ότι χρησιμοποιεί τις ενότητες ενός διαχειριστή κωδικού πρόσβασης ανοιχτού κώδικα κατά την κρυπτογράφηση.
Μεταγλωττισμένο σε .NET και προστατευμένο με χρήση του Obfuscar ανοιχτού κώδικα, το HavanaCrypt αποκρύπτει το παράθυρό του μετά την εκτέλεση, στη συνέχεια ελέγχει το μητρώο AutoRun για μια καταχώρηση “GoogleUpdate” και συνεχίζει με τη ρουτίνα του εάν δεν βρεθεί το μητρώο.
Στη συνέχεια, προχωρά στη ρουτίνα κατά της εικονικοποίησης, η οποία αποτελείται από τέσσερα στάδια: πρώτα, ελέγχει για υπηρεσίες που σχετίζονται με εικονικές μηχανές, στη συνέχεια για αρχεία που σχετίζονται με εφαρμογές εικονικών μηχανών, στη συνέχεια για ονόματα αρχείων που χρησιμοποιούνται για εκτελέσιμα VM και, στη συνέχεια, ελέγχει τη διεύθυνση MAC του μηχανήματος.
Εάν περάσουν όλοι οι έλεγχοι, το κακόβουλο λογισμικό κατεβάζει ένα αρχείο με το όνομα “2.txt” από μια διεύθυνση IP της υπηρεσίας φιλοξενίας ιστού της Microsoft, το αποθηκεύει ως αρχείο .bat και το εκτελεί. Το αρχείο δέσμης περιέχει οδηγίες για το Windows Defender να αγνοεί τις ανιχνεύσεις στους καταλόγους “Windows” και “User”.
Στη συνέχεια, το ransomware τερματίζει μια σειρά από διεργασίες που εκτελούνται, συμπεριλαμβανομένων εκείνων για εφαρμογές βάσης δεδομένων (Microsoft SQL Server και MySQL) και εκείνων του Microsoft Office και του Steam.
Στη συνέχεια, το HavanaCrypt υποβάλλει ερωτήματα σε όλες τις μονάδες δίσκου και διαγράφει όλα τα σκιώδη αντίγραφα και χρησιμοποιεί τα όργανα διαχείρισης των Windows (WMI) για να εντοπίσει περιπτώσεις επαναφοράς συστήματος και να τις διαγράψει.
Μετά από αυτό, το ransomware ρίχνει εκτελέσιμα αντίγραφα του εαυτού του στους φακέλους “ProgramData” και “StartUp”, τα ορίζει ως κρυφά αρχεία συστήματος και ρίχνει στο φάκελο “User Startup” ένα αρχείο .bat που περιέχει μια λειτουργία που απενεργοποιεί τη Διαχείριση εργασιών.
Το HavanaCrypt δημιουργεί ένα μοναδικό αναγνωριστικό (UID) που βασίζεται σε πληροφορίες συστήματος όπως πυρήνες και αναγνωριστικό επεξεργαστή, όνομα επεξεργαστή, υποδοχή, κατασκευαστή και όνομα μητρικής πλακέτας, έκδοση BIOS και αριθμό προϊόντος.
Κατά τη διάρκεια της κρυπτογράφησης, το κακόβουλο λογισμικό χρησιμοποιεί τη συνάρτηση CryptoRandom του KeePass Password Safe για τη δημιουργία κλειδιών κρυπτογράφησης. Η απειλή προσθέτει την επέκταση “.Havana” στα κρυπτογραφημένα αρχεία και αποφεύγει την κρυπτογράφηση αρχείων με συγκεκριμένες επεκτάσεις ή εκείνων σε συγκεκριμένους καταλόγους, συμπεριλαμβανομένου αυτού του προγράμματος περιήγησης Tor, υποδηλώνοντας ότι ο δημιουργός κακόβουλου λογισμικού μπορεί να σχεδιάσει επικοινωνία μέσω του δικτύου Tor.
Το κακόβουλο λογισμικό δημιουργεί επίσης ένα αρχείο κειμένου που καταγράφει όλους τους καταλόγους που περιέχουν τα κρυπτογραφημένα αρχεία. Το αρχείο ονομάζεται foo.txt και το ransomware το κρυπτογραφεί επίσης. Δεν απορρίπτεται σημείωμα λύτρων.
«Αυτό μπορεί να είναι μια ένδειξη ότι το HavanaCrypt βρίσκεται ακόμα στη φάση ανάπτυξής του. Ωστόσο, είναι σημαντικό να το εντοπίσουμε και να το μπλοκάρουμε προτού εξελιχθεί περαιτέρω και κάνει ακόμη μεγαλύτερη ζημιά», εξηγεί η Trend Micro.