av Martin Brinkmann 27. juni 2018 i Sikkerhet – Ingen kommentarer
Thanatos er en ransomware-variant som har blitt distribuert ved hjelp av skadelig programvare-kampanjer i løpet av de siste månedene.
Angrepsvektorer inkluderer distribusjon gjennom chatterom på Splid chat plattform, men også gjennom andre kanaler. Brukere trenger for å utføre spesielt forberedt filer på Windows-Pc, for å starte ransomware infeksjon prosessen.
Ulike versjoner av malware ble distribuert med Thanatos 1.1 blir den nyeste versjonen av ransomware, og sannsynligheten for at nye versjoner blir tilgjengelige.
Navnet Thanatos kommer fra readme-fil som angripere anlegg på brukerens system. Det inkluderer instruksjoner for brukere til å betale en løsepenge ved hjelp av elektronisk valuta for å få tilgang til en dekryptering verktøy for å dekryptere filer som ransomware kryptert på brukerens enhet.
Thanatos steder filene i mappen %APPDATA%/Roaming-katalogen ved hjelp av tilfeldige katalog og kjørbare navn som det genererer ved hjelp av systemets oppetid. Thanotos skanner viktig kataloger, for eksempel dokumenter, bilder, OneDrive, eller skrivebordet til og krypterer filene i disse katalogene ved hjelp av AES-kryptering.
Ciscos Talos gruppe analysert Thanatos og klart å skape en dekryptering verktøy som brukerne kan kjøre for å forsøke å dekryptere filer og få tilgang til disse filene, hvis operasjonen er vellykket.
ThanatosDecryptor har blitt utgitt som åpen kildekode. Programmet er sagt å jobbe mot, versjon 1.0 og 1.1 av Thanatos og skal kjøres mot den krypterte filer (som har den .THANATOS extension) på den infiserte maskinen.
Programmet forsøker dekryptering av enkelte fil-typer, docx, xlsx, pptx, zip, og om tjue mer på den tiden. Med andre ord: hvis Thanatos kryptert filtyper som ikke støttes, ThanatosDecryptor vil ikke være i stand til å dekryptere dem på dette tidspunkt.
ThanatosDecryptor skanner kataloger som Thanatos malware mål for filer med .THANATOS extension. Hver kryptert fil som inneholder en referanse til den opprinnelige filtypen og decryptor programmet bruker den informasjonen til å bestemme om det bør forsøke å dekryptere filen.
Utviklerne beskriver dekryptering prosessen på følgende måte:
ThanatosDecryptor også analyserer Windows Event Logger i de daglige oppetid meldinger og bruker den krypterte filen tid metadata for å finne en startverdi for dekryptering. Denne verdien brukes til å utlede en krypteringsnøkkel, en AES dekryptering operasjonen er gjort mot filen innholdet, og den resulterende byte er sammenlignet mot verdier som er kjent for å være i begynnelsen av disse filtypene. Hvis sammenligningen er mislykket, trinn frø og prøver denne prosessen igjen. Ellers filen er dekryptert og skrevet ut med det originale filnavnet.
Til slutt, når en fil har blitt kryptert, ThanatosDecryptor bruker utgangsverdien fra at dekryptering forsøk som utgangspunkt for dekryptering forsøk mot oppfølging på filer (siden de er alle sannsynligvis til å bli veldig lik).
Utviklerne merk at programmet kunne vært bedre, for eksempel ved å legge til støtte for flere filtyper eller ved hjelp av multi-threading for å få fart på sakene.
Windows-brukere som er berørt av Thanatos ransomware bør gi ThanatosDecryptor en gå som det kan dekryptere krypterte filer.
Den Talos forskere merk at berørte brukere og bedrifter skal ikke betale løsepenger som “malware forfattere er i stand til å returnere data til offeret” på grunn av “problemer til stede i krypteringsprosessen utnyttes av denne ransomware”.
Ytterligere informasjon er tilgjengelig på Talos Intelligens blogg.