af Martin Brinkmann på juni 27, 2018 i Sikkerhed – Ingen kommentarer
Thanatos er en ransomware variant, som er blevet fordelt ved hjælp af malware kampagner i løbet af de sidste par måneder.
Angrebsvektorer omfatter distribution via chat-rooms på Uenighed chat platform, men også gennem andre kanaler. Brugere er nødt til at udføre er specielt fremstillet filer på Windows-Pc ‘ er til at indlede ransomware infektion proces.
Forskellige versioner af den malware, der blev fordelt med Thanatos 1.1 er den seneste version af ransomware og sandsynligheden for, at nyere versioner bliver tilgængelige.
Det navn, Thanatos kommer fra den readme-fil, som angribere anlæg på brugerens system. Det indeholder instruktioner til brugere til at betale en løsesum, ved hjælp af elektroniske valuta for at få adgang til en dekryptering værktøj til at dekryptere filer, der ransomware krypteret på brugerens enhed.
Thanatos placerer sine filer i mappen %APPDATA%/Roaming-bibliotek ved hjælp af tilfældig mappe og eksekverbare navne, at det genererer ved hjælp af systemets oppetid. Thanotos scanninger vigtige mapper, såsom dokumenter, billeder, OneDrive, eller skrivebordet, og krypterer filer i disse mapper ved hjælp af AES-kryptering.
Cisco ‘ s Talos gruppe analyseret Thanatos, og det lykkedes at skabe en dekryptering af, at de berørte brugere kan køre for at forsøge at dekryptere filer og få adgang til disse filer, hvis operationen er vellykket.
ThanatosDecryptor er blevet frigivet som open source. Programmet siges at arbejde mod version 1.0 og 1.1 af Thanatos og skal køre mod den krypterede filer (der har det .THANATOS extension) på den inficerede maskine.
Programmet forsøg på dekryptering af nogle filtyper, docx, xlsx, pptx, zip, og omkring tyve mere på det tidspunkt. Med andre ord: hvis Thanatos krypteret ikke-understøttede filtyper, ThanatosDecryptor vil ikke være i stand til at dekryptere dem på dette tidspunkt i tid.
ThanatosDecryptor scanninger mapper, der Thanatos malware mål for filer med .THANATOS forlængelse. Hver krypteret fil, der indeholder en henvisning til den oprindelige fil type og decryptor programmet bruger oplysningerne til at afgøre, om det skal forsøge at dekryptere filen.
Udviklerne beskriver dekryptering på følgende måde:
ThanatosDecryptor også parser Windows Event Log for den daglige oppetid beskeder og bruger den krypterede fil tid metadata til at bestemme en startværdi for dekryptering. Denne værdi er anvendt til at udlede en krypteringsnøgle, en AES dekryptering drift er gjort mod den fil indhold, og den resulterende byte er sammenlignet med værdier, der er kendt for at være i begyndelsen af disse filtyper. Hvis sammenligningen er mislykket, intervaller frø og forsøger denne proces igen. Ellers, hvis filen er krypteret, og skrevet ud med det oprindelige filnavn.
Endelig, når en fil er blevet en succes krypteret, ThanatosDecryptor bruger SEED-værdi fra, at dekryptering forsøg som udgangspunkt for dekryptering forsøg mod follow-on-filer (da de alle er tilbøjelige til at være meget ens).
Udviklerne bemærk, at programmet vil kunne forbedres, for eksempel ved at tilføje support for at få yderligere filtyper, eller ved hjælp af multi-threading for at fremskynde tingene op.
Windows-brugere, der er berørt af Thanatos ransomware bør give ThanatosDecryptor en gå, som det kan dekryptere de krypterede filer.
Den Talos forskere bemærk, at berørte brugere og virksomheder ikke skal betale den løsesum, som “malware-forfattere er i stand til at returnere data til offer” på grund af “aktuelle problemer inden for kryptering proces udnyttes af denne ransomware”.
Yderligere oplysninger er tilgængelige på Talos Intelligens blog.