RAA, une nouvelle variante de rançongiciel qui n’utilise que JavaScript

Bien que les rançongiciels sur JavaScript ne soient pas une nouveauté (consultez notamment cet article sur Ransom32), nous avons récemment découvert une nouvelle variante de rançongiciel, appelée RAA, qui utilise exclusivement JavaScript afin de chiffrer les fichiers personnels par le biais d’AES. Malheureusement, cela ne s’arrête pas là car ce rançongiciel injecte aussi un logiciel malveillant du nom de Pony (un voleur d’informations bien connu).

La nouveauté réside dans le fait que le rançongiciel est distribué sans le cadre nw.js et n’est pas emballé dans un fichier exécutable. Afin d’assurer un chiffrement AES adéquat des fichiers ciblés à prendre en otage, RAA renferme la bibliothèque CryptoJS.

blog_raa_rançongiciel

Le logiciel malveillant se propage généralement au moyen de pièces malveillantes jointes à des e-mails, se faisant passer pour des fichiers .doc. Pour se rendre crédible, la première étape entreprise après son exécution est de déposer un fichier dans le dossier %userprofile%\documents et d’ouvrir un fichier Bloc-notes avertissant que le fichier est corrompu.

Faux document corrompu

Faux document corrompu

Traduction du russe :

Erreur ! Code d’erreur (0034832)

Ce document a été créé avec une version plus récente de MS Word et ne peut être ouvert par votre version de Bloc-notes.

Demandez de l’aide à l’éditeur du fichier ou ouvrez le contenu en utilisant MS Word 2013.

Certains fichiers peuvent ne pas s’afficher correctement.

 

Pour garantir que le rançongiciel est chargé à chaque démarrage, une valeur d’exécution est créée et renvoie à l’injecteur, comme l’indique l’image ci-dessous :

Création d'une valeur d'exécution.

Création d’une valeur d’exécution.

De plus, afin de s’assurer que les fichiers ne peuvent être recouvrés par le biais de l’option Historique des fichiers, le Volume Shadow Service (VSS) est supprimé. Par conséquent, toute tentative de restauration de versions anciennes des fichiers chiffrés ne pourra aboutir car aucune version précédente ne pourra être trouvée. En outre, un message d’erreur s’affichera si l’on essaie d’accéder à Restauration du système.

Message d'erreur Restauration du système.

Message d’erreur Restauration du système.

Suppression du service VSS.

Suppression du service VSS.

L’étape suivante consiste à procéder au chiffrement, par le biais de la bibliothèque CryptoJS incluse. Les noms originaux des fichiers chiffrés se termineront désormais par .locked.

Fonction de chiffrement

Fonction de chiffrement

Les fichiers comprenant les extensions suivantes seront chiffrés : .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar .csv.  Les fichiers se terminant par .locked, ~ ou $ ne seront pas concernés.

Liste des extensions à inclure ou exclure.

Liste des extensions à inclure ou exclure.

Les noms de fichier suivants sont exclus du processus de chiffrement : Program Files, Program Files (x86), Windows, Recycle.Bin, Recycler, AppData ,Temp, ProgramData et Microsoft

Liste des dossiers à exclure.

Liste des dossiers à exclure.

Pour « aider » les victimes, une demande de rançon en russe appelée !!!README!!![unique ID].rtf est créée sur le bureau ([unique ID] étant le seul identifiant créé lors du processus d’infection) exigeant que soient payés 0,39 Bitcoins ou 250 USD. Voici son contenu :

Demande de rançon en russe.

Demande de rançon en russe.

Jusqu’à présent, nous nous sommes penchés sur la partie chiffrement, toutefois ce logiciel malveillant injecte également un fichier exécutable, connu pour être le voleur d’informations Pony, dans %userprofile%\documents\st.exe, compris dans l’injecteur JS comme chaîne codée au format base64. Le logiciel malveillant Pony est capable de dérober des informations sensibles (comme les mots de passe enregistrés sur votre ordinateur) et de les envoyer à un attaquant à distance. Après avoir extrait la chaîne codée au format base64 et avoir créé un fichier st.exe, ce fichier est exécuté également, et le voleur d’informations est installé sur l’ordinateur.

Hachage SHA1 du logiciel malveillant :
RAA : 2c0b5637701c83b7b2aeabdf3120a89db1dbaad7
Pony : 822bf6d0eb04df65c072b51100c5c852761e7c9e

Pour l’instant, il n’est malheureusement pas possible de déchiffrer les fichiers chiffrés par RAA, ce qui prouve qu’il est impératif d’effectuer une sauvegarde des données les plus importantes ! Les utilisateurs d’Emsisoft sont protégés contre ces logiciels malveillants par notre technologie Analyse de comportement qui les intercepte et les supprime avant qu’ils ne puissent causer préjudice.

Alerte RAA déclenchée par Analyse de comportement

Alerte RAA déclenchée par Analyse de comportement

Alerte Pony déclenchée par Analyse de comportement

Alerte Pony déclenchée par Analyse de comportement

 

 

 

 

 

 

 

 

Fran Rajewski

What to read next

Reader Comments