Trojan.BadRabbit в вирусной библиотеке:

SHA1:

• afeee8b4acff87bc469a6f0364a81ae5d60a2add (Trojan.BadRabbit.1) — энкодер диска / расшифровщик
• de5c8d858e6e41da715dca1c019df0bfb92d32c0 (Trojan.BadRabbit.2) — дроппер
• 79116fe99f2b421c52ef64097f0f39b815b20907 (Trojan.BadRabbit.3) — червь-шифровальщик

Червь-шифровальщик. Состоит из трех компонентов: дроппера, энкодера дисков (способного выполнять функцию расшифровщика) и червя-шифровальщика.

Дроппер

После запуска загружает себя целиком в память. Затем с использованием библиотеки ZLib распаковывает собственный оверлей, содержащий червя-шифровальщика. Этот компонент сохраняется в файл C:\Windows\infpub.dat и запускается с использованием rundll32.exe:

C:\WINDOWS\system32\rundll32.exe C:\Windows\infpub.dat,#1 NN

где NN — параметр, полученный из командной строки, или значение 15 по умолчанию.

Затем дроппер завершает свою работу.

Энкодер (расшифровщик) дисков

С помощью драйвера DiskCryptor энкодер (расшифровщик) дисков получает информацию обо всех используемых в системе дисках. В командном интерпретаторе cmd.exe выполняет команду "schtasks /Delete /F /TN rhaegal". Затем энкодер проверяет количество аргументов процесса. Если процесс был запущен без аргументов, компонент работает в режиме расшифровщика.

Для запуска процедуры шифрования энкодер проверяет, чтобы ему было передано два параметра, один из которых имеет обозначение "-id".

Создает на рабочем столе ярлык "DECRYPT.lnk", указывающий на этот бинарный файл троянца. В командном интерпретаторе cmd.exe выполняет команду "schtasks /Delete /F /TN drogon".

В планировщике заданий Windows создает задачу на перезагрузку компьютера "shutdown.exe /r /t 0 /f" с установленным временным интервалом в 3 минуты. Далее каждые 30 секунд троянец удаляет старое задание и создает новое, постоянно смещая время, когда должна выполниться задача. Вероятно, сделано это на случай, если пользователь компьютера удалит троянца до того, как шифрование дисков завершится.

Генерирует пароль для шифрования диска длиной в 32 символа с использованием следующего алфавита:

0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz

Собирает информацию об инфицированном компьютере и формирует следующую структуру:

struct __declspec(align(1)) st_pcinfo
{
  _DWORD id;
  _DWORD lcid;
  _DWORD timezone_bias;
  char RndBuf[33];
  wchar_t langroup[];
  wchar_t computername[];
};

где id — параметр, полученный с использованием командной строки. Структура имеет фиксированный размер 0xF0. Если значения langroup или computername слишком велики — они пропускаются. Эта структура шифруется публичным ключом, затем формируется структура следующего вида:

struct __declspec(align(1)) st_encrypted
{
  _BYTE byte0;
  _DWORD id;
  _BYTE enc_data[240];
  _DWORD crc32;
};

где значение byte0 == 100, id — параметр, полученный с использованием командной строки, enc_data — зашифрованные публичным ключом данные, crc32 — контрольная сумма всех предыдущих полей. Эта структура кодируется с использованием алгоритма Base64 и записывается в MBR.

Алгоритм шифрования диска и загрузчик (бутлоадер) вирусописатели с небольшими изменениями позаимствовали из проекта с открытым исходным кодом Diskcryptor. Троянец ищет первый системный диск и устанавливает туда свой загрузчик. Впоследствии содержимое этого диска шифруется. После окончания шифрования вызывает завершение работы ОС вызовом "shutdown.exe /r /t 0 /f".

Червь-шифровальщик

Часть кода червя-шифровальщика позаимствована у троянца Trojan.Encoder.12544. Имеет два экспорта — #1 и #2. Может принимать параметры командной строки: если в этих параметрах не задано число, по умолчанию использует значение 45. Понимает параметр -h, который, вероятно, служит для добавления хоста к списку для последующего заражения. Параметр -f служит для модификации флагов обнаруженных в системе процессов.

Экспорт #1

Запускается из дроппера. Пытается получить следующие привилегии:

• SeShutdownPrivilege
• SeDebugPrivilege
• SeTcbPrivilege

С использованием хешей ищет следующие запущенные процессы:

0x4A241C3E dwwatcher.exe
0x923CA517 McTray.exe
0x966D0415 dwarkdaemon.exe
0xAA331620 dwservice.exe
0xC8F10976 mfevtps.exe
0xE2517A14 dwengine.exe
0xE5A05A00 mcshield.exe

Если такие процессы обнаруживаются, пропускает первый этап шифрования. Загружает собственный файл в память, подготавливает его для запуска из памяти и передает в память управление. Освобождает свою библиотеку из памяти с использованием функции FreeLibrary. Перезаписывает свой файл мусорными данными и удаляет его, после чего снова передает управление на первый экспорт, но уже с установленным флагом "запущен из памяти".

Контроль предотвращения повторного запуска осуществляется с помощью мьютекста, имя которого вычисляется на основе имени инфицированного компьютера и хеша образа вредоносной программы в памяти.

Проверяет наличие файла C:\Windows\cscc.dat, в случае его обнаружения завершает работу.

При наличии SeDebugPrivilege извлекает из сжатых ресурсов драйвер, соответствующий разрядности системы:

• 59cd4907a438b8300a467cee1c6fc31135757039 для 32-разрядной версии Windows;
• 08f94684e83a27f2414f439975b7f8a6d61fc056 для 64-разрядной версии Windows.

Извлеченный драйвер сохраняется в файле в C:\Windows\cscc.dat.

Затем шифровальщик пытается завершить работающий процесс rundll32.exe. Извлекает из ресурсов файл с SHA1 afeee8b4acff87bc469a6f0364a81ae5d60a2add и сохраняет его в файл C:\Windows\dispci.exe или в %ALLUSERSPROFILE%\dispci.exe в зависимости от запущенных в системе процессов. Удаляет в Планировщике задание с именем «rhaegal» с помощью команды "schtasks /Delete /F /TN rhaegal" и заново создает задание с тем же именем на запуск dispci.exe с параметрами командной строки "-id %randomNumber%". После этого приступает к регистрации системной службы с именем "cscc", описанием "Windows Client Side Caching DDriver" с помощью функции CreateService, с целью запуска файла cscc.dat. Если зарегистрировать эту службу не удалось, он пытается создать службу с именем "cdfs" путем модификации системного реестра. После этого троянец создает задание с именем "drogon" для перезагрузки компьютера.

Троянец запускает два потока: в одном он с использованием функции GetSystemMetrics ожидает завершения сессии и очищает системные журналы Setup, System, Security и Application при помощи команды wevtutil, а также очищает журнал USN диска C: с помощью команды fsutil usn deletejournal. Также удаляет задание "drogon". Второй поток собирает IP-адреса сетевых узлов для последующего распространения червя.

Троянец извлекает утилиты Mimikatz для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты:

• 16605a4a29a101208457c47ebfde788487be788d (Tool.Mimikatz.231) для 32-разрядной версии Windows;
• 413eba3973a15c1a6429d9f170f3e8287f98c21c (Tool.Mimikatz.232) для 64-разрядной версии Windows.

Соответствующая утилита сохраняется со случайным именем в папке C:\Windows, после чего запускается. Затем вредоносная программа ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию.

Шифрование файлов

Троянец генерирует 0x21 байт случайных данных, преобразует их в 0x20 печатных символов и на основании получившейся строки формирует ключ для AES. Для шифрования всех файлов используется один ключ. Этот ключ вместе с информацией о системе шифруется имеющимся в троянце публичным RSA-ключом и сохраняется в файл с требованиями выкупа. Расшифровка файлов в настоящее время не представляется возможной.

Новость о троянце