Известный ИБ-эксперт и сотрудник компании Emsisoft Фабиан Восар (Fabian Wosar) давно планировал заняться взломом малвари в прямом эфире. Читатели и коллеги Восара убедили его, что стрим, демонстрирующий реверс вредоноса – это интересно, и удобный случай вскоре представился. 16 февраля 2017 года специалист GData Картен Хан (Karsten Hahn) обнаружил нового шифровальщика Hermes, и Восар решил, что изучение малвари в прямом эфире станет хорошей темой для первого стрима.

Как выяснилось в процессе реверса, Hermes был несложен, более того, Восар сумел найти способ взлома шифрования вымогателя. Хотя декриптер еще не готов, зрители смогли наблюдать не только процесс анализа малвари, но и ее взлом. Полную версию записи стрима можно увидеть ниже.

Оказалось, что для обхода UAC (User Account Control) Hermes использует Eleven (Elevation by environment variable expansion). Фактически это позволяет файлу Shade.vbs обойти UAC и запуститься с повышенными привилегиями. После данный VBS-файл запустит файл Shade.bat, который избавится от всех теневых копий и бэкапов жертвы. Для этого шифровальщик прицельно ищет файлы .VHD, .bac, .bak, .wbcat, .bkf, Backup*.*, backup*.*, .set, .win,  .dsk и удаляет их.

Читайте также:  NASA тестирует электромагнитный рюкзак для ориентации в замкнутых пространствах

Проникнув на компьютер, Hermes копирует себя в C:UsersPublicReload.exe и выполняется. После этого запускается system_.bat, предназначенный для удаления оригинального загрузчика. Затем Hermes приступает к шифрованию пользовательской информации, используя алгоритм AES. Стоит отметить, что вредонос не изменят расширения файлов, как делают многие вымогатели, но добавляет маркер HERMES в конец каждого зашифрованного файла, как видно на скриншоте ниже.

Источник

Реклама партнёра:

Добавить комментарий

Ваш e-mail не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.