door Martin Brinkmann op juni 27, 2018 in Veiligheid – Geen reacties
Thanatos is een ransomware-variant die is verspreid met behulp van malware campagnes van de afgelopen paar maanden.
Aanval vectoren zijn met de distributie via chat kamers op de Onenigheid chat-platform, maar ook via andere kanalen. Gebruikers nodig hebben voor het uitvoeren van speciaal geprepareerde bestanden op Windows-Pc ‘ s te leiden van de ransomware infectie proces.
Verschillende versies van de malware werd verspreid met Thanatos 1.1 wordt de meest recente versie van de ransomware en de kans dat de nieuwere versies beschikbaar zullen worden.
De naam Thanatos komt van het leesmij-bestand dat aanvallers plant op de user systeem aan. Het bevat instructies voor de gebruikers om te betalen van een losgeld gebruik van elektronische munt om toegang te krijgen tot het decoderen van een tool om bestanden te decoderen die de ransomware gecodeerd opgeslagen op het apparaat van de gebruiker.
Thanatos plaatsen van de bestanden in de %APPDATA%/Roaming map met een willekeurige map en uitvoerbare namen die het genereert met behulp van het systeem uptime. Thanotos scans belangrijke mappen, zoals documenten, foto ‘ s, OneDrive, of desktop tot en versleutelt bestanden in deze mappen met behulp van AES-encryptie.
Cisco ‘ s Talos groep geanalyseerd Thanatos en beheerd te maken van een speciale tool die betrokken gebruikers kunnen uitvoeren om te proberen om bestanden te decoderen en opnieuw toegang krijgen tot deze bestanden als de bewerking voltooid is.
ThanatosDecryptor is vrijgegeven als open source. Het programma wordt gezegd om te werken aan de hand van versie 1.0 en 1.1 van Thanatos en moet worden uitgevoerd tegen de versleutelde bestanden (dat zijn het .THANATOS extensie) op de geïnfecteerde computer.
Het programma probeert de ontcijfering van bepaalde bestandstypen, docx, xlsx, pptx, zip, en over twintig meer bij de tijd. In andere woorden: als Thanatos gecodeerd niet-ondersteunde bestandstypen, ThanatosDecryptor niet kunnen decoderen die op dit punt in de tijd.
ThanatosDecryptor scant mappen die Thanatos malware doelstellingen voor bestanden met de .THANATOS-extensie. Elke versleutelde bestand bevat de verwijzing naar het oorspronkelijke bestand van het type en de decryptor toepassing gebruikt de informatie om te bepalen of het moet worden gedecodeerd het bestand.
De ontwikkelaars beschrijven de ontsleuteling proces in de volgende manier:
ThanatosDecryptor ook analyseert het Windows Event Log-in voor de dagelijkse uptime berichten en gebruik het versleutelde bestand moment metagegevens voor het bepalen van een beginwaarde voor de decryptie. Deze waarde is gebruikt voor het afleiden van een sleutel, een AES-decodering bediening is gedaan tegen de inhoud van een bestand, en de daaruit voortvloeiende byte worden vergeleken met waarden bekend te zijn in het begin van deze bestandstypen. Als de vergelijking niet lukt, stappen van het zaad en probeert dit proces opnieuw. Anders wordt het bestand ontsleuteld en geschreven met de oorspronkelijke bestandsnaam.
Tot slot, wanneer een bestand is met succes versleuteld, ThanatosDecryptor gebruik maakt van de waarde van het ZAAD van die decodering poging als uitgangspunt voor de ontsleuteling pogingen tegen de follow-bestanden (omdat ze alle waarschijnlijk zeer vergelijkbaar).
De ontwikkelaars er rekening mee dat het programma kan worden verbeterd, bijvoorbeeld door het toevoegen van ondersteuning voor andere bestandstypen of met behulp van multi-threading om dingen te versnellen.
Windows-gebruikers die getroffen zijn door de Thanatos ransomware moet geven ThanatosDecryptor ga als het kan decoderen van de versleutelde bestanden.
De Talos onderzoekers er rekening mee dat de getroffen gebruikers en bedrijven moeten niet betalen van het losgeld als “de malware-auteurs niet in staat zijn om de gegevens naar het slachtoffer” vanwege “problemen aanwezig zijn binnen de encryptie proces benut door deze ransomware”.
Meer informatie is beschikbaar op de Talos Intelligence blog.