В одной из кампаний зловред распространяет вымогатель NonRansomware.
Быстро развивающийся троян DanaBot получил дополнительную функциональность. В очередную версию зловреда в одной из европейских кампаний входит модуль-вымогатель NonRansomware. В начале мая ИБ-исследователи зафиксировали первые случаи применения этого модуля.
NonRansomware кодирует все файлы на локальных дисках, кроме тех, которые расположены в директории Windows. Каждый объект шифруется в отдельном потоке с помощью алгоритма AES128. После этого файлы получают расширение .non, а в каждую папку помещается документ HowToBackFiles.txt, где находится инструкция по выкупу данных.
Также зловред загружает в папку %TEMP% исполняемый файл b.bat и запускает его. Скрипт отвечает за:
Эксперты из CheckPoint изучили модуль NonRansomware и написали инструмент для восстановления зашифрованных им данных. Как выяснилось, злоумышленники фактически скопировали код из открытой библиотеки DelphiEncryptionCompendium (DEC). Более того, в исходнике обнаружилось подробное описание процесса шифрования и информация о том, что нужно для восстановления файлов, а именно — случайное число, которое зловред хранит прямо в этих файлах, и пароль, на основе которого генерится идентификатор жертвы. Последний является строковым представлением серийного номера системного диска, и его несложно подобрать брутфорсом, зная id, который указан в записке о выкупе.
Таким образом, единственное, что требуется для восстановления зашифрованных файлов, — это вызвать готовую функцию DecodeFile с подобранным паролем.
DanaBot — это модульный троян, написанный на Delphi. Впервые его обнаружили в Австралии в мае 2018 года. За полгода жизни зловред распространился на Польшу, Италию, Германию, Австрию и Украину. Европейские спам-кампании с его участием показали, что троян быстро расширяет свои возможности с помощью новых плагинов и способов рассылки спама.
С сентября 2018 года DanaBot начал использоваться для массированных атак на американские банки, такие как Bank of America, TD Bank, Royal Bank и JP Morgan Chase. Злоумышленники распространяли троян под видом сообщений от сервиса eFax со ссылкой на загрузку документа, содержащего вредоносный код.
Следующий важный этап эволюции DanaBot произошел в конце января 2019 года, когда авторы зловреда усовершенствовали обмен данными с управляющим сервером. В частности, они доработали его архитектуру и внедрили многоэтапное шифрование данных, что затруднило его обнаружение антивирусными системами.
Вот некоторые из сегодняшних возможностей DanaBot: