Sage Ransomware nasila się przywilejów i uchyla się od analizy

Computer Security News

Eksperci zabezpieczeń Fortinet ostrzegł, że Sage ransomware ma przekazany jej przywilejów, a dodane anty-analiza możliwości.

Mimo, że zagrożenie był bardzo aktywny na początku tego roku, nie wykazały żadnych istotnych aktywności podczas ostatnich sześciu miesięcy.

W marcu, bezpieczeństwa naukowcy odkryli próbek przypominający wersji Sage, jednak, że jeden jeden miał anty-analizy i przywilej eskalacja możliwości.

Sage ransomware jest rozpowszechniany za pośrednictwem wiadomości e-mail będących spamem ze złośliwymi załącznikami JavaScript. Zdaniem ekspertów malware akcji tej samej infrastruktury dystrybucji z Locky ransomware.

Ponadto naukowcy zauważyli, że zagrożenie jest dystrybuowane za pośrednictwem plików dokumentów zawierających szkodliwe makra. Wykorzystuje ona .info i najwyższego nazwy domeny najwyższego poziomu (TLD) dla dostawy złośliwego oprogramowania.

Sage ransomware używa ChaCha20 algorytm szyfrowania do szyfrowania plików ofiary i dołącza rozszerzenie .sage do nich. Złośliwe oprogramowanie pozwala uniknąć zainfekowania komputerów, które mają następujące układy klawiatury: białoruski, Kazak, uzbecki, rosyjski, ukraiński, Sakha i łotewski.

Analizy kodu mędrca pokazuje, że większość ciągi zostały zaszyfrowane próbując ukryć złośliwego zachowania. Według firmy Fortinet, twórcy złośliwego oprogramowania użyłem szyfr ChaCha20 szyfrowania i każdy zaszyfrowany ciąg ma swój własny klucz odszyfrowywania zakodowane.

Oprócz wyżej wymienionych, Sage już wykonuje szereg kontroli w celu sprawdzenia, czy jest ładowany do piaskownicy lub maszyny wirtualnej do analizy.

Ransomware wylicza wszystkie aktywne procesy na komputerze PC, oblicza wartość mieszania dla każdego z nich i sprawdza wartości skrótu z listy wydruk na czarnej liście procesów. Poza tym, to sprawdza pełną ścieżkę gdzie malware wykonuje i przerywa, jeśli zawiera ciągi jak próbki, malw, sampel, wirus, {MD5 próbki} i {próbek w SHA1}.

Ponadto wariant Sage sprawdza nazwy komputera i użytkownika do określenia, czy odpowiadają one listę nazw, zwykle używane w środowisku sandbox. Poza tym, używa x86 instrukcji CPUID Aby uzyskać info procesora i porównać go do listy na czarnej liście procesora identyfikatory.

Oprócz wszystkich innych funkcji do tej pory złośliwego oprogramowania sprawdza, czy program antywirusowy działa na komputerze (przez wyliczanie usług uruchomionych w Service Control Manager) i porównuje ją z zestawu na czarnej liście adresów MAC.

Eksperci odkryli również, że szałwia jest w stanie podnoszące jego przywilej, wykorzystując połatany usterki jądra systemu Windows (CVE-2015-0057) lub nadużywanie eventvwr.exe i wykonując rejestru porwanie aby ominąć kontroli konta użytkownika (UAC).

Sage okupu został przetłumaczony na sześć nowych języków, co sugeruje, że twórca ransomware może kierować więcej krajów w przyszłości.

W chwili obecnej ofiar złośliwego oprogramowania są pouczani dostępu do witryny za pomocą przeglądarki Tora cebula i zapłacić okup 2000 dolarów do zakupu “oprogramowanie SAGE Decrypter” i uwolnienia ich plików.


Leave a Reply

Your email address will not be published. Required fields are marked *