Professional Documents
Culture Documents
2012
CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka
IP DIGGER Wyszukiwarka
W maju mielimy w Polsce do czynienia z infekcjami zoliwym oprogramowaniem, ktre blokowao dostp do komputera, dajc wpacenia okupu w zamian za usunicie blokady. Opata karna wynosi 100 euro (mona rwnie dokona dwch patnoci po 50 euro) i powinna zosta dokonana poprzez podanie numeru vouchera UKASH. Jak twierdzi wywietlany na komputerze komunikat, kara ta wynika z tajemniczych przepisw o kontroli informacyjnej oraz zabezpieczenia informacji z 2012 roku. Sam komunikat napisany jest poprawn polszczyzn i opatrzony logiem policji! (patrz zrzut ekranu poniej). Programy antywirusowe oznaczaj to zagroenie jako Trojan/Weelsof.
www.cert.pl/news/5483
1/6
07.07.2012
CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka
Co to jest ransomware?
Ransomware (ang. ransom okup, software oprogramowanie) jest to rodzaj zoliwego oprogramowania, ktry blokuje pewne funkcje komputera (np: szyfruje pliki, blokuje moliwo uruchomienia programw itp), a nastpnie za usunicie blokady da wpacenia okupu. Po zapaceniu uytkownik dostaje zazwyczaj klucz/kod odblokowujcy. Na og kwota okupu nie jest dua co sprzyja ma wybraniu przez uytkownika sponsorowanej metody usunicia problemu.
Co si dzieje z komputerem?
Malware instaluje si poprzez wejcie na stron z tzw. exploit-packiem, ktry poprzez luk w niezaktualizowanym oprogramowaniu przejmuje kontrol nad systemem ofiary i ciga z sieci oraz uruchamia zoliwe oprogramowanie. Po uruchomieniu ransomware dodaje par wpisw do rejestru systemowego, wycza proces Explorera (znika menu start), ukrywa wszystkie okna, a nastpnie wywietla komunikat proszcy o wniesienie opaty. Z przeprowadzonej w laboratorium CERT Polska analizy wynika, i malware nie podejmuje adnych innych dziaa (tzn. nie infekuje/kasuje/szyfruje innych plikw).
07.07.2012
CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka
moe by dowolne. Dodatkowo po wprowadzeniu kod UKASH przesyany jest do serwera, ktry sprawdza jego wano. Aby dokona odblokowania komputera za pomoc kodu wygenerowanego przez powyszy URL, naley (w momencie wpisywania kodu) odczy komputer od sieci (wyj kabel sieciowy, wyczy kart WIFI).
Metoda rczna
Innym sposobem jest uruchomienie komputera w trybie awaryjnym z wierszem polece (zwyky tryb awaryjny nie bdzie dziaa !) i rczne usunicie z dysku oraz rejestru zmian wprowadzonych przez malware. Jest to metoda zdecydowanie polecana jedynie zaawansowanym uytkownikom.
Nastpnie dodaje wpis do rejestru wywoujcy plik [1] podczas uruchamiania komputera oraz podajc plik [3] jako alternatywny Shell modyfikujc klucze : 1 2 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W kolejnym korku program odnajduje PID procesu e x p l o r e r . e x e(pierwsze wystpienie tej nazwy na licie procesw), a nastpnie zabija znaleziony PID. Nastpnie wyszukuje w systemie okna za pomoc funkcji E n u m W i n d o w s ( ) , ktre blokuje W i n d o w E n a b l e ( )i ukrywa W i n d o w S h o w ( ) . Nastpnie program pobiera z serwera komunikat jaki ma zosta wywietlony na ekranie (w kodzie programu ten element nazywany jest design). Jzyk komunikatu okrelony jest poprzez funkcj systemow G e t U s e r G e o I D ( ) , ktra wraca kod kraju. Design pobierany jest z adresu h t t p : / / a d r e s c n c / a r c h / d e s i g n _ [ K O D K R A J U ] . Jest to plik .zip zawierajcy pliki graficzne oraz plik m a i n . h t m l . Po procesie instalacji program wysya metod POST pod adres h t t p : / / a d r e s c n c / t o p i c . p h p
www.cert.pl/news/5483 3/6
07.07.2012
CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka
komunikat o pomylnym zainstalowaniu wraz z kodem kraju z poprzedniego kroku. Z serwera pobierana jest rwnie czarna lista numerw UKASH z adresu h t t p : / / a d r e s c n c / b l a c k . d a t Nastpnie tworzone jest okno z obiektem WebBrowser (C L S I D : 8 8 5 6 F 9 6 1 3 4 0 A 1 1 D 0 A 9 6 B 0 0 C 0 4 F D 7 0 5 A 2 ), ktre wywietla pobrany wczeniej design zajmujc cay ekran. Po wpisaniu numer UKASH uruchamiana jest procedura sprawdzajca poprawno wpisanego kodu. Nie jest ona rozbudowana, poniewa sprawdzeniu podlega jedynie prefiks czy kod zaczyna si od cigu 6 3 3 7 8 1lub 7 1 8 oraz ilo znakw po prefiksie musi by rwna 13. Po uznaniu wpisanego numeru za poprawny uruchamiana jest procedura odblokowania komputera oraz wysanie metod POST pod adres h t t p : / / a d r e s c n c / t o p i c . p h pwpisanego kodu. Procedura odblokowania jest odwrconym procesem instalacji. Na pocztku zamykane jest okno przesaniajce ekran. Nastpnie uruchamiany jest proces e x p l o r e r . e x eoraz za pomoc funkcji E n u m W i n d o w s ( ) , W i n d o w E n a b l e ( )i W i n d o w S h o w ( )przywracane s ukryte okna. Na koniec malware usuwa zmienione wpisy w rejestrze oraz stworzone pliki. Tags: analiza, infekcja, kod, luki, malware, ransomware, trojan, ukash, weelsof
Wpis utworzony 8 czerwca 2012 o 14:44 i umieszczony w kategorii Posty. Moesz ledzi wszystkie odpowiedzi korzystajc z RSS 2.0 Komentarze i pings sa zablokowane
Edukacja i szkolenia
Projekty badawcze
www.cert.pl/news/5483
4/6
07.07.2012
CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka
Wsppraca
Archiwa
Wybierz miesic
Kalendarium publikacji
lipca 2012 P W C P S N 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 czerwiec
Tagi
www.cert.pl/news/5483 5/6
07.07.2012
CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka
0/TCP
0day
ActiveX ataki
Adobe
analiza
ankieta biuletyn BZ
apache
Apple
AWStats Cisco
blackholing poisoning craw ler ednschanger e-banking FIRST explorer kolizja mac os x Pro
Bredolab cfs
WBK dga
cache DNS
cenzura
CheckPoint D-Link
Confixx
cyberw ojna
Debian
domain flash
dow nload
commerce HoneySpider
fotka.pl ISSE
Gadu-Gadu IBM
H.225
hamw eq
Honeynet
Huaw eiSymantecSpider
ISP secure
jsunpack Livebox
Juniper TP
konkurs w ebsites
Linux
luka
maszyny mule NIST PDF money treci
malware
Ministerstw o nasza-klasa Outlook n6 OUCH P2P
man-in-the-middle mitmo
w irtualne morto
mBank Mozilla
McColo msn
Microsoft
MySQL
Gospodarki NATO
murofet Oracle
nielegalne
Opera
osCommerce
Pajacyk
patch
praw o rustock RTP
phishing
Pow erPoint ransomw are rootkit conference skanow anie spyw are testy 2.0
projekty RBN
qriocity
raport
samoregulacja ServerProtect SMB SSL torpig sms stack TP VeriSign Winamp w yciek zeus
Second
Secunia sieciow y
SQL
injection
SSH
STORM typosquattig
Symantec
symbian
sup
Thunderbird redirect
UPnP
WebHints
w eelsof
w izualizacja Yahoo!
WOMBAT
Word
w w w .pajacyk.pl zero-day
X.509
zagroenia zoliw e
zagroenie strony
zoliw e
rdo
www.cert.pl/news/5483
6/6