Вымогатель RAA способен не только шифровать контент, но и похищать пароли
13.09.2016
Исследователи "Лаборатории Касперского" опубликовали подробный анализ вымогательского ПО RAA. Первая версия вредоноса была обнаружена в июне нынешнего года. Отличительной чертой шифровальщика является то, что он полностью написан на языке программирования JavaScript.
Операторы RAA распространяют троян через спам-рассылку, маскируя его под документ Microsoft Word. Оказавшись на системе, вредонос шифрует файлы и требует за их восстановление выкуп в размере примерно $250.
Как выяснилось в ходе анализа, RAA обладает дополнительной функциональностью. Троян содержит закодированный в Base64 исполняемый файл, который сбрасывается на диск и запускается после того, как контент будет зашифрован. В файле находится троян Pony, чья основная задача заключается в сборе конфиденциальной информации. В частности, интерес для вредонса представляют сохраненные в браузере пароли, регистрационные пароли, используемые в десятках наиболее популярных FTP-клиентах, учетные данные распространенных почтовых клиентов, информация о кошельках криптовалют. Помимо прочего, Pony похищает имеющиеся у пользователя цифровые сертификаты и хранит список наиболее распространенных паролей.
Собранную информацию троян шифрует с помощью алгоритма RC4 и отправляет ее на C&C-сервер злоумышленников. При этом троян постоянно фиксирует контрольные суммы полученных данных. Действия выполняются в следующей последовательности:
1. Подсчет контрольной суммы от незашифрованных данных.
2. Добавление полученного значения к входным данным.
3. Шифрование входных данных при помощи алгоритма RC4 с использованием заданного злоумышленниками ключа.
4. Подсчет контрольной суммы от зашифрованных данных.
5. Добавление полученного значения к входным данным.
6. Генерация случайного ключа длиной в 4 байта.
7. Шифрование входных данных алгоритмом RC4, используя сгенерированный ключ.
