Neues Ransomware Sample mit IOC

Vor kurzem bin ich über eine mir bisher noch nicht untergekommene Variante einer Ransomware gestossen. Die Erkennungsrate nach auch einem ganzen Tag lässt leider noch immer massiv zu wünschen übrig – gerade mal 11 von 56 (Link) erkennen die Bedrohung bisher und anhand der Malware-Familien, welche zugeordnet werden, scheinen das auch nur Behaivoral-Analysen zu sein und sicherlich keine Pattern…

Die Infektion mit der Ransomware scheint wie in letzter Zeit so üblich, über das Angler-EK zu laufen und die Einstiegspunkte dafür sind sehr vielfältig.

Ist die Malware auf dem Client, so erkennt man sie am besten daran, dass sie sich in jeden verschlüsselten Ordner selbst kopiert, aktuell unter dem Namen „Backup Instruction.exe“ mit folgenden Eigenschaften:

MD5:		a0fed8de59e6f6ce77da7788faef5489
SHA1:		96ebbf821f37dc2dcebc177fc3a6c17b3171aab3
SHA256:	004cdc6996225f244aef124edc72f90434a872b3d4fa56d5ebc2655473733aef

Ist die Ransomware einmal aktiv, so werden die Daten verschlüsselt nach folgendem Muster:

FILENAME_ID_email_xoomx@dr.com_.code

Zusätzlich wird die Datei mit weiteren Instruktionen in einer HTML Datei abgelegt mit dem Namen „HELP_YOUR_FILES.HTML“:

Name:		HELP_YOUR_FILES.HTML
Grösse:	1913 bytes
Typ:		HTML document, ASCII text
MD5			4cb837255571d2d27d6b1f8f9bc672ef
SHA1		e3717b3a2d7e98abdfe8451b6d4efe3a51c65347
SHA256	f44737eb9ef658251f8f5bf5b0f59186a554a8a9ef6b1cf78b927866a0143a27

Erkennen lässt sich die Ransomware an der Netzwerkkommunikation, womit der entsprechende Key übermittelt wird:

21-04-2016 07-33-20

Spannend fand ich, dass der Key vom Host an den C2 übermittelt wird und nicht umgekehrt:

21-04-2016 07-35-27

Somit ist der übermittelte Key entweder der Private-Key zum Entschlüsseln, oder aber der Public Key, was aber bedeutet, dass die Ransomware selbst über hartkodierte und einprogrammierte Keys verfügen muss und diese sind ja bekanntlich nicht unendlich vielfältig. Sicherlich ein guter Punkt zum Einsteigen für ein mögliches Entschlüsselungsprogramm…

Als IOC sind aus der Analyse die folgenden Infos zusammengekommen:

FileHash-MD5:			a0fed8de59e6f6ce77da7788faef5489
FileHash-SHA1:		96ebbf821f37dc2dcebc177fc3a6c17b3171aab3
FileHash-SHA256:	004cdc6996225f244aef124edc72f90434a872b3d4fa56d5ebc2655473733aef
IPv4:							46.8.45.174
URL:							hXXp://46.8.45.174/bobi/piok.php

5 Kommentare bei „Neues Ransomware Sample mit IOC

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.