Вымогатель RAA способен не только шифровать контент, но и похищать пароли

Исследователи «Лаборатории Касперского» опубликовали подробный анализ вымогательского ПО RAA. Первая версия вредоноса была обнаружена в июне нынешнего года. Отличительной чертой шифровальщика является то, что он полностью написан на языке программирования JavaScript.

Операторы RAA распространяют троян через спам-рассылку, маскируя его под документ Microsoft Word. Оказавшись на системе, вредонос шифрует файлы и требует за их восстановление выкуп в размере примерно $250.

Как выяснилось в ходе анализа, RAA обладает дополнительной функциональностью. Троян содержит закодированный в Base64 исполняемый файл, который сбрасывается на диск и запускается после того, как контент будет зашифрован. В файле находится троян Pony, чья основная задача заключается в сборе конфиденциальной информации. В частности, интерес для вредонса представляют сохраненные в браузере пароли, регистрационные пароли, используемые в десятках наиболее популярных FTP-клиентах, учетные данные распространенных почтовых клиентов, информация о кошельках криптовалют. Помимо прочего, Pony похищает имеющиеся у пользователя цифровые сертификаты и хранит список наиболее распространенных паролей.

Собранную информацию троян шифрует с помощью алгоритма RC4 и отправляет ее на C&C-сервер злоумышленников. При этом троян постоянно фиксирует контрольные суммы полученных данных. Действия выполняются в следующей последовательности:

1. Подсчет контрольной суммы от незашифрованных данных.

2. Добавление полученного значения к входным данным.

3. Шифрование входных данных при помощи алгоритма RC4 с использованием заданного злоумышленниками ключа.

4. Подсчет контрольной суммы от зашифрованных данных.

5. Добавление полученного значения к входным данным.

6. Генерация случайного ключа длиной в 4 байта.

7. Шифрование входных данных алгоритмом RC4, используя сгенерированный ключ.

8. Формирование готовых к отправке данных.