מעבדת קספרסקי זיהתה את תוכנת הכופר KeyPass המכילה טופס נסתר להפעלה ידנית

במהלך הימים האחרונים, מודול ה- anti-ransomware של מעבדת קספרסקי זיהה גרסה חדשה של קוד זדוני – תוכנת הכופר KeyPass. גורמים נוספים בקהילת האבטחה הבחינו גם הם כי תוכנת הכופר הזו החלה להתפשט ברשת במהלך חודש אוגוסט. על פי חוקרי מעבדת קספרסקי, הקוד הזדוני מפיץ את עצמו באמצעות תוכנות מזויפות המתקינות את תוכנת הכופר במקום את התוכנה הרצויה.

מדובר בתוכנת כופר הכתובה ב- C++ וסגורה ב- MS Visual Studio. היא פותחה באמצעות הספריות MFC, Boost ו- Cryptoo++. ראש הקובץ מכיל את תאריך סגירת הקובץ. כאשר התוכנה מגיעה למחשב הקורבן היא מעתיקה את עצמה כקובץ הפעלה, מפעילה את עצמה, ומוחקת את המקור. לאחר מכן היא מייצרת מספר עותקים של התהליך שהיא מריצה, ומעבירה את מפתח ההצפנה ואת מספר זיהוי הקורבן כפרמטר בתוך שורת ההפעלה.

KeyPass סורקת כוננים מקומיים ואזורי רשת משותפים הנגישים מתוך המכשיר, ומחפשת את כל הקבצים הקיימים בהם, ללא קשר לסוג שלהם. היא מדלגת על קבצים הממוקמים במספר ספריות קבועות מראש, שהנתיב אליהן מקודד אל תוך הקוד הזדוני. כל קובץ מוצפן מקבל את הסיומת .KEYPASS  ובכל תיקיה מוצפנת מושארת הודעה בשם “”!!!KEYPASS_DECRYPTION_INFO!!!.txt”” .

 

מהלך ההצפנה

המפתחים של תוכנת ההצפנה הטמיעו מערכת פשוטה מאוד. הקוד הזדוני משתמש באלגוריתם הצפנה א-סימטרי AES-256 במצב CFB ואותו מפתח 32 בייטים לכל הקבצים. מיד לאחר ההפעלה, KeyPass מתחבר לשרתי הפיקוד והשליטה (C&C) ומקבל מפתח הצפנה ו- ID לזיהוי הקורבן הנוכחי. הנתונים מועברים על גבי HTTP  פשוט בצורת JSON. אם שרתי הפיקוד והשליטה אינם זמינים (לדוגמא, אם המכונה המודבקת אינה מחוברת לאינטרנט או שהשרת אינו פעיל), הטרויאני משתמש במפתח הצפנה ו- ID המקודדים בתוכו. המשמעות היא שבמקרה כזה, של הצפנה ללא חיבור לרשת, אחזור קבצי המחשב יהיה פשוט.

ממשק משתמש

על פי חוקרי מעבדת קספרסקי, המאפיין המעניין ביותר של KeyPass מבחינתם, הוא היכולת לעבור ל"שליטה ידנית". הטרויאני מכיל טופס מוסתר, שניתן להציג בלחיצה על כפתור מיוחד במקלדת. יכולת שכזו מצביעה על כך שייתכן והעבריינים שמאחורי הטרויאני מתכננים להשתמש בו בהתקפות ידניות.n

הטופס מאפשר לתוקפים לבצע התאמה של תהליך ההצפנה באמצעות שינוי פרמטרים כגון, מפתח הצפנה, שם ההודעה לדרישת הכופר, תוכן ההודעה, ID של הקורבן, סיומת הקבצים המוצפנים, ורשימת המיקומים שאין להצפין.

אולי יעניין אותך גם