Idén már találtak zsarolóvírusokat, melyek Windows 10-, Exchange- vagy éppen Google Chrome-frissítésnek álcázták magukat. Most itt egy újabb csel: a Trend Micro kutatói olyan ransomware-t azonosítottak, amely Google Software Update alkalmazásnak mutatja magát. A HavanaCrypt névre keresztelt kód még egy megtévesztő elemet bevet: a C&C (command and control) szervere egy Microsoft webtárhely-szolgáltatás IP-címét használja.

Hatalmas tempóban érkeznek az újabbnál újabb zsarolóvírusok, írják a HavanaCrypt elemzésének bevezetőjében a kutatók: csak a Trend Micro Smart Protection Networkje 4,4 millió ransomware-támadási kísérletet regisztrált idén az első negyedévben. A ransomware-ek népszerűségét evolúciós képességükre vezetik vissza: folyamatosan változó taktikákat és módszereket alkalmaznak, hogy megtévesszék áldozataikat, és bármilyen IT-környezetbe beszivárogjanak.

Kerüli az idő előtti lebukást

A .NET-ben írt és nyílt forráskódú obfuszkátorral védett kódú HavanaCrypt nagy gondot fordít arra, hogy ne fedezzék fel. Első lépésben ellenőrzi az AutoRun Registryben a "GoogleUpdate" bejegyzést, és akkor lép tovább, ha nem találja. Utána négy körben ellenőrzi, hogy nem virtualizált-e a környezet, így akarja elkerülni az ilyen környezetekre jellemző dinamikus elemzéseket. Megnézi, hogy futnak-e a virtuális gépekhez kapcsolódó szolgáltatások, hogy vannak-e a virtuális gépi alkalmazásokhoz kapcsolódó fájlok, VM-en futtatható fájlnevek, végül pedig ellenőrzi a gép MAC-címét is.

Ha minden ellenőrzés lefutott, letölt egy 2.txt nevű állományt egy Microsoft webtárhely-szolgáltatás IP-címéről, és elmenti .bat fájlként, majd végrehajtja. A kötegelt végrehajtást segítő batch fájl a Windows Defender számára tartalmaz utasításokat, hogy hagyja figyelmen kívül, ha a "Windows" és a "User" könyvtárakban tapasztal valamilyen fenyegetést.

A HavanaCrypt következő lépése, hogy leállít egy sor futó processzt, többek között adatbázis-alkalmazásokat (Microsoft SQL Server és MySQL), valamint Microsoft Office- és Steam-folyamatokat. Utána lekérdezi az összes lemezmeghajtót, és törli az összes árnyékmásolatot (shadow copy) , a Windows Management Instrumentation (WMI) segítségével pedig a rendszer-visszaállítási példányokat is azonosítja és törli.

Elhelyezi saját futtatható másolatait a "ProgramData" és a "StartUp" mappában, amiket rejtett rendszerfájlokként állít be, a "User Startup" mappába pedig egy .bat fájlt tesz, amely letiltja a Task Managert. Utolsó lépésként generál egy egyedi azonosítót a rendszerinformációk (processzormagok és azonosítójuk, a processzor neve, alaplap gyártója, a BIOS stb.) alapján.

A kiterjesztésről kapta a nevét

Magához a titkosításhoz egy ingyenes windowsos jelszókezelőt, a KeePass Password Safe-et használja. Ennek CryptoRandom funkciójával generálja a titkosítási kulcsokat. A titkosított fájlok pedig megkapják a .havana kiterjesztést.

A zsarolóvírus bizonyos fájlokat és könyvtárakat elkerül. Az egyik a Tor böngésző könyvtára, amiből a kutatók arra következtettek, hogy a támadó kód szerzője Tor hálózaton keresztül akar kommunikálni az áldozatokkal.

A HavanaCrypt naplózza is a titkosított állományokat egy foo.txt nevű fájlban, amit természetesen szintén titkosít. A kutatók szerint még fejlesztési fázisban lehet a kód, mivel nem küldi a szokásos értesítést a fizetendő váltságdíjról. De azonosítása és felismerése fontos, mert az alkalmazott újdonságaival így is komoly károkat okozhat. A részletes technikai elemzés a Trend Micro oldalán érhető el.