07.07.

2012

CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka

Serwis utrzymywany przez

Praca Szkolenia Skaner O nas Raporty Projekty Statystyki FAQ Kontakt

IP DIGGER Wyszukiwarka

Anomalia w sieci Torrent Rejestracja na SECURE 2012 ruszya!

Ten komputer zosta zablokowany ransomware da voucheru Ukash na 100 euro !

W maju mielimy w Polsce do czynienia z infekcjami zoliwym oprogramowaniem, ktre blokowao dostp do komputera, dajc wpacenia okupu w zamian za usunicie blokady. Opata karna wynosi 100 euro (mona rwnie dokona dwch patnoci po 50 euro) i powinna zosta dokonana poprzez podanie numeru vouchera UKASH. Jak twierdzi wywietlany na komputerze komunikat, kara ta wynika z tajemniczych przepisw o kontroli informacyjnej oraz zabezpieczenia informacji z 2012 roku. Sam komunikat napisany jest poprawn polszczyzn i opatrzony logiem policji! (patrz zrzut ekranu poniej). Programy antywirusowe oznaczaj to zagroenie jako Trojan/Weelsof.

www.cert.pl/news/5483

1/6

07.07.2012

CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka

Co to jest ransomware?
Ransomware (ang. ransom okup, software oprogramowanie) jest to rodzaj zoliwego oprogramowania, ktry blokuje pewne funkcje komputera (np: szyfruje pliki, blokuje moliwo uruchomienia programw itp), a nastpnie za usunicie blokady da wpacenia okupu. Po zapaceniu uytkownik dostaje zazwyczaj klucz/kod odblokowujcy. Na og kwota okupu nie jest dua co sprzyja ma wybraniu przez uytkownika sponsorowanej metody usunicia problemu.

Co si dzieje z komputerem?
Malware instaluje si poprzez wejcie na stron z tzw. exploit-packiem, ktry poprzez luk w niezaktualizowanym oprogramowaniu przejmuje kontrol nad systemem ofiary i ciga z sieci oraz uruchamia zoliwe oprogramowanie. Po uruchomieniu ransomware dodaje par wpisw do rejestru systemowego, wycza proces Explorera (znika menu start), ukrywa wszystkie okna, a nastpnie wywietla komunikat proszcy o wniesienie opaty. Z przeprowadzonej w laboratorium CERT Polska analizy wynika, i malware nie podejmuje adnych innych dziaa (tzn. nie infekuje/kasuje/szyfruje innych plikw).

Podobne przypadki w innych krajach

Jak mona przeczyta na stronie https://www.abuse.ch/?p=3718, ten rodzaj zoliwego oprogramowania atakowa ju wczeniej poza Polsk. Znalezione przez nas komunikaty zawieray treci dla krajw: Austria, Finlandia, Niemcy, Belgia, Francja, Grecja, Wochy, Holandia, Polska, Portugalia, Hiszpania, Szwecja.

Jak usun malware?

Najprostsza metoda usunicia polega po prostu na wpisaniu poprawnego kodu UKASH. Z analizy malware wynika, i malware sprawdza jedynie pocztek kodu, nie sprawdza natomiast czy jest to poprawny, aktywny numer vouchera. W internecie mona znale informacj, i poprawny kod zaczynia si od cigu 6 3 3 7 8 1lub 7 1 8po ktrych nastpuje 13 cyfr. Prosty generator takich kodw znajduje si poniej :

Wygeneruj losowy kod UKASH AKTUALIZACJA:

Nowa wersja malware sprawdza dodatkowo kolejne trzy znaki kodu, natomiast 10 ostatnich cyfr nadal
www.cert.pl/news/5483 2/6

07.07.2012

CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka

moe by dowolne. Dodatkowo po wprowadzeniu kod UKASH przesyany jest do serwera, ktry sprawdza jego wano. Aby dokona odblokowania komputera za pomoc kodu wygenerowanego przez powyszy URL, naley (w momencie wpisywania kodu) odczy komputer od sieci (wyj kabel sieciowy, wyczy kart WIFI).

Metoda rczna
Innym sposobem jest uruchomienie komputera w trybie awaryjnym z wierszem polece (zwyky tryb awaryjny nie bdzie dziaa !) i rczne usunicie z dysku oraz rejestru zmian wprowadzonych przez malware. Jest to metoda zdecydowanie polecana jedynie zaawansowanym uytkownikom.

Analiza co dokadnie robi Weelsof?

Sam program spakowany/chroniony jest najprawdopodobniej narzdziem armadillo. Po wypakowaniu i uruchomieniu waciwego kodu program kopiuje si do nastpujcych lokalizacji: 1 2 3 C:\Documents and Settings\All Users\Dane aplikacji\[losowa-nazwa].exe C:\Windows\[losowa-nazwa].exe C:\Windows\explorer_new.exe

Nastpnie dodaje wpis do rejestru wywoujcy plik [1] podczas uruchamiania komputera oraz podajc plik [3] jako alternatywny Shell modyfikujc klucze : 1 2 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\Software\Microsoft\Windows\CurrentVersion\Run

W kolejnym korku program odnajduje PID procesu e x p l o r e r . e x e(pierwsze wystpienie tej nazwy na licie procesw), a nastpnie zabija znaleziony PID. Nastpnie wyszukuje w systemie okna za pomoc funkcji E n u m W i n d o w s ( ) , ktre blokuje W i n d o w E n a b l e ( )i ukrywa W i n d o w S h o w ( ) . Nastpnie program pobiera z serwera komunikat jaki ma zosta wywietlony na ekranie (w kodzie programu ten element nazywany jest design). Jzyk komunikatu okrelony jest poprzez funkcj systemow G e t U s e r G e o I D ( ) , ktra wraca kod kraju. Design pobierany jest z adresu h t t p : / / a d r e s c n c / a r c h / d e s i g n _ [ K O D K R A J U ] . Jest to plik .zip zawierajcy pliki graficzne oraz plik m a i n . h t m l . Po procesie instalacji program wysya metod POST pod adres h t t p : / / a d r e s c n c / t o p i c . p h p
www.cert.pl/news/5483 3/6

07.07.2012

CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka

komunikat o pomylnym zainstalowaniu wraz z kodem kraju z poprzedniego kroku. Z serwera pobierana jest rwnie czarna lista numerw UKASH z adresu h t t p : / / a d r e s c n c / b l a c k . d a t Nastpnie tworzone jest okno z obiektem WebBrowser (C L S I D : 8 8 5 6 F 9 6 1 3 4 0 A 1 1 D 0 A 9 6 B 0 0 C 0 4 F D 7 0 5 A 2 ), ktre wywietla pobrany wczeniej design zajmujc cay ekran. Po wpisaniu numer UKASH uruchamiana jest procedura sprawdzajca poprawno wpisanego kodu. Nie jest ona rozbudowana, poniewa sprawdzeniu podlega jedynie prefiks czy kod zaczyna si od cigu 6 3 3 7 8 1lub 7 1 8 oraz ilo znakw po prefiksie musi by rwna 13. Po uznaniu wpisanego numeru za poprawny uruchamiana jest procedura odblokowania komputera oraz wysanie metod POST pod adres h t t p : / / a d r e s c n c / t o p i c . p h pwpisanego kodu. Procedura odblokowania jest odwrconym procesem instalacji. Na pocztku zamykane jest okno przesaniajce ekran. Nastpnie uruchamiany jest proces e x p l o r e r . e x eoraz za pomoc funkcji E n u m W i n d o w s ( ) , W i n d o w E n a b l e ( )i W i n d o w S h o w ( )przywracane s ukryte okna. Na koniec malware usuwa zmienione wpisy w rejestrze oraz stworzone pliki. Tags: analiza, infekcja, kod, luki, malware, ransomware, trojan, ukash, weelsof
Wpis utworzony 8 czerwca 2012 o 14:44 i umieszczony w kategorii Posty. Moesz ledzi wszystkie odpowiedzi korzystajc z RSS 2.0 Komentarze i pings sa zablokowane

Comments are closed. Zgo incydent

Znajd nas tutaj

Edukacja i szkolenia

Projekty badawcze

www.cert.pl/news/5483

4/6

07.07.2012

CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka

Wsppraca

Archiwa
Wybierz miesic

Kalendarium publikacji
lipca 2012 P W C P S N 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 czerwiec

Tagi
www.cert.pl/news/5483 5/6

07.07.2012

CERT Polska Blog Archive Ten komputer zosta zablokowany ransomware da voucheru Uka

0/TCP

0day

abuse Asprox bot

Abuse Asterisk botnet

Forum atak boty

ActiveX ataki

Adobe

analiza

android BIND9 CLOSER DDoS BusyBox

ankieta biuletyn BZ

Anonymous blackberry CA DLL

apache

Apple

ARAKIS blokow anie Capture-HPC CSS CVE DNSSEC FISHA

aw areness buffer CIP

AWStats Cisco

blackholing poisoning craw ler ednschanger e-banking FIRST explorer kolizja mac os x Pro

Bredolab cfs

overflow DBI DDNS DoS

WBK dga

cache DNS

cenzura

certyfikat domain Excel

CheckPoint D-Link

Conficker drive-by fbi infekcja

Confixx

cyberprzemoc fluxing ENISA Huaw ei ISDN Flashback e-mail HSN

cyberw ojna

Debian

domain flash

hijacking exploit fraud Java

domeny eyeBeam FTP

Dow nadup fast-flux GnuPG incydenty JS

dow nload

commerce HoneySpider

facebook IIS JRE

filtrow anie H.323 injection kelihos

Firefox internet kod luki

fotka.pl ISSE

Gadu-Gadu IBM

H.225

hamw eq

Honeynet

Huaw eiSymantecSpider

InternetExplorer konferencja Macrovision MBR

ISP secure

JavaScript KVM LinkedIn

jsunpack Livebox

Juniper TP

konferencja malicious MD5

konkurs w ebsites

Linux

luka
maszyny mule NIST PDF money treci

malicious mebroot MyBB

malware
Ministerstw o nasza-klasa Outlook n6 OUCH P2P

man-in-the-middle mitmo

w irtualne morto

mBank Mozilla

McColo msn

Microsoft
MySQL

Gospodarki NATO

MS-SQL OpenSSL PHP proxy Reader scada shell snort

murofet Oracle

nielegalne

Openoffice.org phoneyc UE RDP

Opera

osCommerce

Pajacyk

patch
praw o rustock RTP

phishing

phpMyAdmin przegldarki RealPlayer SDP sony command

podatnoci psn PTI regulacje injection spam tcp

podatno Q.931 remote Life QEMU RFC

podpis robak SIP

elektroniczny QuickTime robots.txt Sipvicious spyeye Sun TERENA URL w eb security

Pow erPoint ransomw are rootkit conference skanow anie spyw are testy 2.0

proftpd Samba sendmail Slammer

projekty RBN

qriocity

RapidSSL sejm Skype

raport

samoregulacja ServerProtect SMB SSL torpig sms stack TP VeriSign Winamp w yciek zeus

Seamonkey Sophos statystyki plikw trojan Vista w indow s w amanie

Second

Secunia sieciow y

secure SpyBye stuxnet

shellcode Spider stos TCP/IP udp VoIP w irus Xen zitmo

spoofing sieciow y telefon ukash

SQL

injection

SSH

verflow systemy Trend Micro VirtualBox Window s w yudzenie

STORM typosquattig

sundayddr injection w orm

sipsscuser TF-CSIRT URL WWW ZBot

Symantec

symbian

sup

telefonia Unix ostrzeganie

Thunderbird redirect

UPnP

usunicie w epaw et zeroday

VMw are mobile

w czesne XSS zombie

WebHints

w eelsof

w izualizacja Yahoo!

WOMBAT

Word

w w w .pajacyk.pl zero-day

X.509

zagroenia zoliw e

zagroenie strony

zoliw e

rdo

Copyright 2000-2008 NASK Projekt i wykonanie Kompan.pl

www.cert.pl/news/5483

6/6