Sage Ransomware ayrıcalıkları dozu artarken ve analiz Evades

Computer Security News

Fortinet güvenlik uzmanları uyardı Sage ransomware escalated ayrıcalıkları ve anti-analiz becerileri eklemiştir.

Tehdit bu yılın başında son derece aktif olmasına rağmen son altı ay boyunca herhangi bir önemli etkinliği çıkmadı.

Mart ayında, güvenlik araştırmacılar bulundu adaçayı, ancak, bunu bir sürümünü benzeyen örnekler Anti-analiz ve ayrıcalık yükseltme yetenekleri vardı.

Sage ransomware kötü amaçlı JavaScript ekleri ile spam e-postalar üzerinden dağıtılır. Uzmanlara göre kötü amaçlı yazılım aynı dağıtım altyapısı ile Locky ransomware paylaşır.

Buna ek olarak, araştırmacılar tehdit kötü amaçlı makrolar içeren belge eğe yolu ile dağıtılmasını fark ettim. .İnfo ve sevdalanma en üst düzey etki alanı (TLD) adları’malware dır güçlendirir.

Sage ransomware kurbanın dosyaları şifrelemek için ChaCha20 şifreleme algoritmasını kullanır ve onlara .sage uzantısı ekler. Aşağıdaki klavye düzenleri bilgisayarlarına virüs bulaştırma malware önler: Belarus, Kazak, Özbek, Rusça, Ukraynaca, saha ve Letonya.

Sage’nın kod analizini zararlı davranışları gizlemek için bir girişim en dizeleri şifreli gösterir. Fortinet göre kötü amaçlı yazılım yaratıcıları ChaCha20 şifre şifreleme için kullanılan ve şifrelenmiş her dize, kendi sabit kodlanmış şifre çözme anahtarı vardır.

Dışında yukarıda bahsedilen, adaçayı zaten bir kum veya çözümleme için bir sanal makine içine yüklenmektedir eğer belirlemek için denetimler çeşitli yapar.

Ransomware PC tüm etkin işlemler numaralandırır, her biri için bir karma değer hesaplar ve kıymalı yemek kara listeye işlemlerin kodlanmış listesini karşı denetler. Ayrıca, nereye belgili tanımlık malware yürütür ve dizeleri örnek, virüs, malw, numune gibi içeriyorsa sonlandırır tam yolunu denetler {örnek MD5} ve {örnekleri’nın SHA1}.

Ayrıca, yeni varyantı adaçayı onlar normalde sanal ortamlarda kullanılan adları listesini eşleştiğini belirlemek için bilgisayar ve kullanıcı adları denetler. Ayrıca, x86 kullanır öğretim işlemci bilgi almak ve bunu bir listesine CPUID kara listeye CPU kimlikleri.

Tüm diğer işlevleri defa dışında belgili tanımlık malware bir virüsten koruma (Hizmet Denetim Yöneticisi altında çalışan hizmetleri numaralandırma tarafından) bilgisayarda çalışan bir kara listeye MAC adresleri kümesi karşı denetler olup olmadığını denetler ve.

Uzmanlar ayrıca adaçayı bir yamalı Windows Çekirdeği Güvenlik Açığı’nı (CVE-2015-0057) istismar veya eventvwr.exe kötüye ve kullanıcı hesabı denetimi (UAC) atlamak için kayıt defteri kaçırma, ayrıcalık yükseltme kapasitesine sahip olduğunu keşfetti.

Adaçayı fidye notu ransomware yaratıcısı gelecekte daha fazla ülke hedef düşündüren altı yeni dillere çevrilmiştir.

Şu anda, malware kurbanlarını TOR tarayıcı kullanarak bir soğan sitesine erişmek için ve satın almak “SAGE Decrypter bilgisayar yazılımı” ve onların dosyaları serbest bırakmak için 2000 $ fidye ödemek için talimat verilen.


Leave a Reply

Your email address will not be published. Required fields are marked *