von Martin Brinkmann am 27. Juni 2018 in Sicherheit – Keine Kommentare
Thanatos ist eine ransomware-Variante, die verteilt wurde mit malware-Kampagnen aus den vergangenen Monaten.
Angriffsmethoden distribution durch chat-rooms, auf der Zwietracht-chat-Plattform, sondern auch über andere Kanäle. Die Benutzer ausführen müssen speziell vorbereitete Dateien auf Windows-PCs zu initiieren, die ransomware Infektion-Prozess.
Verschiedene Versionen der malware verteilt wurden, mit Thanatos 1.1 ist die aktuelle version der ransomware und die Wahrscheinlichkeit, dass neuere Versionen zur Verfügung stehen werden.
Der name Thanatos kommt aus der readme-Datei, die Angreifer Anlage auf der Benutzer-system. Es enthält Anweisungen, um die Nutzer zum bezahlen eines Lösegeldes mit elektronischen Währung, um Zugriff auf ein Entschlüsselungs-tool, um Dateien zu entschlüsseln, die die ransomware verschlüsselt auf dem Gerät des Benutzers.
Thanatos legt seine Dateien im %APPDATA%/Roaming Verzeichnis mit zufälligen Verzeichnis und die ausführbare Datei Namen, die er erzeugt das system die Betriebszeit. Thanotos durchsucht wichtigen Verzeichnissen, wie Dokumente, Bilder, OneDrive oder desktop an und verschlüsselt die Dateien in diesen Verzeichnissen mit AES-Verschlüsselung.
Cisco Talos-Gruppe analysiert Thanatos und schaffen ein Entschlüsselungs-tool, dass die betroffenen Benutzer ausführen kann, um zu versuchen, um Dateien zu entschlüsseln und wieder Zugriff auf diese Dateien, wenn die operation erfolgreich ist.
ThanatosDecryptor wurde als OpenSource freigegeben. Das Programm wird gesagt, um zu arbeiten, die mit version 1.0 und 1.1 von Thanatos und sollte ausgeführt werden, verschlüsselte Dateien haben das .THANATOS-Erweiterung) auf dem infizierten Rechner.
Das Programm versucht, die Entschlüsselung der einige Dateitypen docx, xlsx, pptx, zip, und etwa zwanzig mehr in der Zeit. In anderen Worten: wenn Thanatos verschlüsselt, nicht unterstützte Dateitypen, ThanatosDecryptor nicht entschlüsseln können jene an diesem Punkt in der Zeit.
ThanatosDecryptor durchsucht Verzeichnisse, Thanatos Ziele für malware für Dateien mit der .THANATOS-Erweiterung. Jede verschlüsselte Datei beinhaltet den Verweis auf die original-Datei-Typ und den decryptor Anwendung verwendet die Informationen, um festzustellen, ob es versuchen soll, die Datei zu entschlüsseln.
Die Entwickler beschreiben die Entschlüsselung in der folgenden Weise:
ThanatosDecryptor analysiert auch das Windows Event-Log für den täglichen Betriebszeit von Nachrichten und verwendet die verschlüsselte Datei mal von Metadaten, um zu bestimmen, einen Startwert für die Entschlüsselung. Dieser Wert wird verwendet, um daraus einen Schlüssel für die Verschlüsselung, AES-Entschlüsselung erfolgt gegen den Inhalt der Datei, und die daraus resultierende byte-sind im Vergleich mit bekannten Werten an den Anfang dieser Datei-Typen. Falls der Vergleich nicht erfolgreich ist, erhöht die Samen und versucht, diesen Vorgang erneut. Andernfalls wird die Datei entschlüsselt und geschrieben mit den ursprünglichen Dateinamen.
Schließlich, sobald eine Datei erfolgreich verschlüsselt, ThanatosDecryptor verwendet die SEED-Wert aus, dass die Entschlüsselung Versuch als Ausgangspunkt für die Entschlüsselung versucht, gegen follow-on-Dateien (da Sie sind wahrscheinlich alle sehr ähnlich zu sein).
Die Entwickler beachten, dass das Programm verbessert werden könnte, zum Beispiel durch hinzufügen von Unterstützung für zusätzliche Datei-Typen oder durch die Verwendung von multi-threading, um die Dinge zu beschleunigen.
Windows-Benutzer, die betroffen sind von der Thanatos ransomware geben sollte ThanatosDecryptor ein gehen, wie kann es entschlüsseln von verschlüsselten Dateien.
Der Talos Forscher beachten Sie, dass die betroffenen Nutzer und Unternehmen sollten nicht zahlen das Lösegeld als “die malware-Autoren sind nicht in der Lage, um wieder die Daten des Opfers”, durch “Probleme, die in den Verschlüsselungs-Prozess genutzt, die von diesem ransomware”.
Weitere Informationen finden Sie auf der Talos-Intelligence-blog.