События

Вымогатель RAA способен не только шифровать контент, но и похищать пароли

Вымогатель RAA способен не только шифровать контент, но и похищать пароли

Исследователи «Лаборатории Касперского» опубликовали подробный анализ вымогательского ПО RAA. Первая версия вредоноса была обнаружена в июне нынешнего года. Отличительной чертой шифровальщика является то, что он полностью написан на языке программирования JavaScript.

Операторы RAA распространяют троян через спам-рассылку, маскируя его под документ Microsoft Word. Оказавшись на системе, вредонос шифрует файлы и требует за их восстановление выкуп в размере примерно $250.

Как выяснилось в ходе анализа, RAA обладает дополнительной функциональностью. Троян содержит закодированный в Base64 исполняемый файл, который сбрасывается на диск и запускается после того, как контент будет зашифрован. В файле находится троян Pony, чья основная задача заключается в сборе конфиденциальной информации. В частности, интерес для вредонса представляют сохраненные в браузере пароли, регистрационные пароли, используемые в десятках наиболее популярных FTP-клиентах, учетные данные распространенных почтовых клиентов, информация о кошельках криптовалют. Помимо прочего, Pony похищает имеющиеся у пользователя цифровые сертификаты и хранит список наиболее распространенных паролей.

Собранную информацию троян шифрует с помощью алгоритма RC4 и отправляет ее на C&C-сервер злоумышленников. При этом троян постоянно фиксирует контрольные суммы полученных данных. Действия выполняются в следующей последовательности:

1. Подсчет контрольной суммы от незашифрованных данных.

2. Добавление полученного значения к входным данным.

3. Шифрование входных данных при помощи алгоритма RC4 с использованием заданного злоумышленниками ключа.

4. Подсчет контрольной суммы от зашифрованных данных.

5. Добавление полученного значения к входным данным.

6. Генерация случайного ключа длиной в 4 байта.

7. Шифрование входных данных алгоритмом RC4, используя сгенерированный ключ.

8. Формирование готовых к отправке данных.

Автор: Сергей Куприянов
12.09.2016 (16:40)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.