Ransomware Phoenix Cryptolocker – groźny wirus szyfrujący pliki
Ransomware Phoenix Cryptolocker pojawił się po raz pierwszy na początku 2021 roku i od razu trafił na pierwsze strony gazet ze względu na atak na amerykańskiego ubezpieczyciela CNA Financial. Ten nowy wariant oprogramowania ransomware jest szczególnie groźny, gdyż wykorzystuje dotąd nieznany wektor infekcji – złośliwe oprogramowanie jest podpisane certyfikatem cyfrowym, aby wyglądać na legalne narzędzie.
Po uruchomieniu na zaatakowanym urządzeniu Phoenix Cryptolocker tworzy swoją kopię pod inną nazwą, następnie detonuje tę kopię i wyszukuje docelowe rozszerzenia plików, które następnie szyfruje, dodając rozszerzenie .phoenix do każdego z nich. Jednocześnie w każdym zaszyfrowanym katalogu napastnicy pozostawiają żądanie okupu.
Żądanie okupu zawiera instrukcje jak skontaktować się z napastnikiem za pośrednictwem strony internetowej lub adresu e-mail.
Po zakończeniu szyfrowania złośliwe oprogramowanie usuwa wszystkie ślady samego siebie, pozostawiając użytkownikowi tylko zaszyfrowane pliki i instrukcje, w jaki sposób zapłacić okup za ich odszyfrowanie.
Analiza techniczna ransomware Phoenix Cryptolocker
Phoenix Cryptolocker jest wyposażony w kilka wbudowanych mechanizmów zaprojektowanych tak, aby sprawiać wrażenie legalnego narzędzia i zmusić nieświadomego użytkownika do jego uruchomienia. Ransomware Phoenix Cryptolocker używa ikony 7-Zip, próbując udawać plik 7-Zip.
Po drugie, jest podpisany certyfikatem cyfrowym, wydanym firmie SATURDAY CITY LIMITED, z datą podpisania 20 marca 2021 r.
Analiza sygnatury czasowej kompilacji pliku wskazuje na tę samą datę – 20 marca 2021 r.
Po uruchomieniu Phoenix Cryptolocker najpierw tworzy nowy katalog w lokalizacji C: /% Username% / AppData / Roaming / <installation_folder>, gdzie instaluje swoją kopię pod losową nazwą i bez dołączania typowego pliku wykonywalnego Windows z rozszerzeniem .exe.
Ten plik jest również skorelowany z tym samym SHA256 co początkowy plik binarny.
Konwencja nazewnictwa zarówno utworzonego folderu instalacyjnego, jak i skopiowanego pliku binarnego zazwyczaj jest zgodna z prawidłowo brzmiącym i nieokreślonym formatem, takim jak w poniższym przykładzie, w którym utworzony folder został nazwany MessagingApp, a skopiowany plik binarny zatytułowany Nt.
Jest to prawdopodobnie próba pozostania niezauważonym przez podejrzliwego użytkownika lub oprogramowanie antywirusowe.
Skopiowany plik binarny jest następnie wykonywany za pomocą przełącznika „/ go”:
Można to zobaczyć jako podproces początkowego pliku binarnego:
Następnie ransomware rozpoczyna procedurę szyfrowania, do każdego zaszyfrowanego pliku zostaje dodane rozszerzenie .phoenix:
Równolegle z szyfrowaniem plików do każdego katalogu jest dołączany plik zatytułowany PHOENIX-HELP, który zawiera żądanie okupu za odszyfrowanie plików, obraz feniksa oraz instrukcje dotyczące kontaktu z napastnikiem za pośrednictwem poczty e-mail lub strony internetowej.
Jeśli użytkownik kliknie podany w żądaniu okupu adres strony internetowej, to przejdzie do strony o nazwie phoenix helpdesk, która zachęca użytkownika do pobrania komunikatora Telegram, który umożliwia nawiązanie kontaktu z napastnikiem:
Po zakończeniu procedury szyfrowania złośliwe oprogramowanie wywołuje wbudowane pliki binarne systemu Windows waitfor.exe i attribute.exe za pośrednictwem cmd.exe, aby usunąć zarówno oryginalny plik binarny, jak i utworzony folder – usuwając w ten sposób wszystkie dowody swojej obecności i pozostawiając ofierze tylko zaszyfrowane pliki wraz z żądaniem okupu.
CylancePROTECT – skuteczny antywirus na oprogramowanie ransomware
Podczas analizy próbki za pomocą uczenia maszynowego, na którym m.in. opiera się oprogramowanie antywirusowe CylancePROTECT natychmiast wykrył zagrożenie i zablokował wykonanie ransomware Phoenix Cryptolocker. Ponadto zespół badawczy BlackBerry Threat Research w celu wyłapania zagrożenia stworzył regułę Yara. Chcesz zobaczyć na własne oczy jak CylancePROTECT blokuje m.in. próbki ransomware? Zapraszamy na webinar, gdzie podczas live demo zademonstrujemy możliwości tego antywirusa nowej generacji. Webinar odbędzie się w najbliższą środę (28.04) o godz. 10:00.
