Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Вайпер повреждает файлы по 666 байт за раз

08/11/22

hack140-2

Недавно обнаруженная программа-вымогатель Azov Ransomware по-прежнему активно распространяется по всему миру, и сейчас окончательно доказано, что она представляет собой средство очистки данных, которое преднамеренно уничтожает данные жертв и заражает другие программы.

Записка о выкупе выдавала операторов программы-вымогателя за исследователей кибербезопасности из BleepingComputer, MalwareHunterTeam и AdvIntel . Из-за того, что записка не содержала каких-либо контактов злоумышленников для оплаты выкупа, эксперты рассматривали это вредоносное ПО как вайпер, а не как программу-вымогатель.

На прошлой неделе исследователь безопасности Checkpoint Йиржи Винопал проанализировал Azov Ransomware и подтвердил, что эта вредоносная программа специально создана для повреждения данных, передает Securitylab.

В ходе экспериментов экперт выяснил, что вредоносная программа включает себя время срабатывания, которое заставляло ее бездействовать на устройствах жертвы до 27 октября 2022 года, 10:14:30 по всемирному координированному времени, что затем вызывало повреждение всех данных на устройстве.

Винопал сказал, что Azov перезаписывает содержимое файла и повреждает данные, чередуя 666-байтовые фрагменты ненужных данных. Каждый цикл ровно 666 байт перезаписываются случайными (неинициализированными данными), а следующие 666 байт остаются исходными.

Это работает в цикле, поэтому структура очищенного файла будет выглядеть так: 666 байт мусора, 666 байт оригинала, 666 байт мусора, 666 байт оригинала и т. д.

Более того, вайпер заражает другие 64-разрядные исполняемые файлы на устройстве Windows, у которых путь к файлу не содержит следующих строк:

  • :\Windows
  • \ProgramData\
  • \cache2\entries
  • \Low\Content.IE5\
  • \User Data\Default\Cache\
  • Documents and Settings
  • \All Users

При заражении исполняемого файла вредоносное ПО внедряет код, который вызывает запуск вайпера при запуске безобидного на первый взгляд исполняемого файла. Одни и те же шелл-коды, используемые для заражения, каждый раз кодируются по-разному.

Вредоносное ПО Azov было обнаружено в октябре, однако, только за один день на VirusTotal было загружено около 120 экземпляров.

На данный момент причина распространения вайпера непонятна. Тем не менее, предположения экспертов начинаются от того, чтобы скрыть другое злонамеренное поведение или просто «поиграть» с сообществом кибербезопасности.

Стоит отметить, что жертвы Azov Ransomware не смогут восстановить свои файлы. А поскольку другие исполняемые файлы тоже заражаются, необходимо переустановить Windows, чтобы быть в безопасности.

Темы:УгрозыCheck PointКиберугрозывайперы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...