Ransomware FakePoliceAlert - opis
#1
Wczoraj napisała do mnie znajoma - skarżyła się ,że na jednym z dysków pojawił się program, który zablokował jej ekran i wyświetlał informację w języku angielskim, dotyczącą blokady komputera przez FBI.

Mój kolega informatyk chwalił mi się z kolei,że usuwał klientce wirusa "policję", który także blokując pulpit "domagał się" opłaty za kod odblokowujący. Okazuje się jednak, że takowych problemów jest więcej.

Gdzie ukrywają się te wirusy?

Ja tego nie wiem, ale są znajdowane "na potęgę" i muszą być umieszczone w miejscach ogólnodostępnych i często używanych przez społeczność użytkowników sieci.

O opinię na temat tego szkodnika poprosiłem specjalistę d/s zagrożeń

[Aby zobaczyć linki, zarejestruj się tutaj]

:

"Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie- będzie to widoczne w logach.

Po uruchomieniu dodaje parę wpisów do rejestru np.:
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = ‘Yes’

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = ’0?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = ’1?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = ‘.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;’

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = ’1?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer “NoDesktop” = ’1?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = ’1?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random] .exe”

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random] ”

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = ’1?

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = ‘no’

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = ’0?

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = ’0?


Malware tworzy też pliki i foldery z losowymi nazwami.

Wyłącza proces explorera, ukrywa wszystkie okna i wyświetla komunikat proszący o wniesienie opłaty.
  • Detailed report of suspicious malware actions:
    • Created a mutex named: Local\!IETld!Mutex

    • Defined file type created in Windows folder: C:\Windows\explorer_new.exe

    • Defined file type created in Windows folder: C:\Windows\jdnmpqrzkxwacfnypbbv.exe

    • Defined file type created: C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe

    • Defined file type created: C:\ProgramData\ugjuzuaefophikn\jquery.main.js

    • Defined file type created: C:\ProgramData\ugjuzuaefophikn\main.html

    • Defined registry AutoStart location created or modified: machine\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer_new.exe

    • Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe

    • Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe

    • Deleted activity traces

    • Detected process privilege elevation

    • File copied itself

    • Got computer name

    • Internet connection: Connects to "62.76.47.158" on port 80.

    • Internet connection: Connects to "euro-police.in" on port 80.


Żeby się tego pozbyć należy przywrócić system z kopii bezpieczeństwa lub użyć specjalnego skryptu do OTLA, bądź narzędzia WindowsUnlocker Kaspersky z Kaspersky Rescue Disk żeby przywrócić zmiany w rejestrze."

Dodatkowo siła Trojana jest podwójna: z jednej strony potrafi "obejśc " heurystykę nieodpornych programów zabezpieczających, z drugiej w momencie infekcji nie możnausunąć go standardową metodą działania (np. antywirusem, który pozwolił działać szkodnikowi w systemie, ale pobrał nowe skuteczne aktualizacje).

Ransom blokuje pulpit i nie pozwala na uruchomienie absolutnie żadnego programu.

Niestety z powodu jego popularności radzę zainwestować trochę czasu w naukę obsługi programów typu HIPS i doinstalować je do swojego zabezpieczenia.

W związku z faktem, że malware ten jest wyjątkowo skuteczny, będzie go zapewne coraz więcej.

Przykładowe screeny z działania :

[Aby zobaczyć linki, zarejestruj się tutaj]


Dokładnie taki komunikat miała moja znajoma (na komputerze był zainstalowany jeden z topowych antywirusów).

[Aby zobaczyć linki, zarejestruj się tutaj]


Co ciekawe znany TrustPort blokował uruchomienie wczorajszego sampla...

[Aby zobaczyć linki, zarejestruj się tutaj]


... wyświetlającego następujący komunikat...

[Aby zobaczyć linki, zarejestruj się tutaj]


Niestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet Bitdefendera..

[Aby zobaczyć linki, zarejestruj się tutaj]


Ważnym jest, że zagrożenie jest dużo popularniejsze od LiveSecurity i groźniejsze zarazem. Proszę uważać.

Za pomoc dziękuję tachionowii F4z !


Autor:McAlex
SafeGroup.pl - Zadbamy o Twoje bezpieczeństwo
Odpowiedz
#2
Można wiedzieć jakie znajoma ma zabezpieczenia?; oczywiście chodzi o kompa Grin
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#3
Cytat: Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie

No właśnie, dlatego jest tak popularny. Ludzie mają gdzieś aktualizowanie systemu, programów itd....
Ostatnio widziałem kolegę z Firefoksem 3.5, Javą bodajże 6 Update 19 i Flashem 10.
I jak na takim systemie zagrożenie ma nie wejść?...
I jak Tommy cały czas powtarza: "Łatać, łatać i jeszcze raz łatać"
Odpowiedz
#4
tommy504 napisał(a):Można wiedzieć jakie znajoma ma zabezpieczenia?; oczywiście chodzi o kompa Grin

Nie chcę tego zdradzać. Wink
Ale mogę powiedzieć, że każdy program bez Hipsa powinien wpuścic tego wirusa.

Dodano: 21 lip 2012, 20:29

I oczywiście zachęcam do testów na maszynach wirtualnych i podzielenia się informacjami/screenami w tym temacie.Smile
Odpowiedz
#5
kamil10506 napisał(a):I jak Tommy cały czas powtarza: "Łatać, łatać i jeszcze raz łatać"


Dokładnie tak jest i tak powinno być jak piszesz: "Łatać, łatać i jeszcze raz łatać" Smile
A jak nie jest tak, to złotać d....ę tym co nie łatają Smile
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#6
alex1155 napisał(a):iestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet bitdefendera..


Zainfekowany system to totalna porażka, bo niektóre szyfrują pliki i po zabawie, nawet jeśli program AV go wykryje to i tak musztarda po obiedzie.
Odpowiedz
#7
promototo napisał(a):
alex1155 napisał(a):iestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet bitdefendera..


Zainfekowany system to totalna porażka, bo niektóre szyfrują pliki i po zabawie, nawet jeśli program AV go wykryje to i tak musztarda po obiedzie.


Dlatego mówi się: "Łatać, łatać i łatać" ale i "Świat dzieli się na 2 typy ludzi: Ci którzy robią kopię zapasową i tych którzy zaczną ją robić" Wink
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz
#8
Ja mam połatany. Wszystkie aktualizacje Windows, a nad aktualnymi wersjami programów czuwa Secunia PSI 3. Jeszcze tylko kopia keriverem i pyszota Grin
Odpowiedz
#9
Właśnie SS da mu radę czy jednak jest za lekkim hipsem? Javę wyłączyłem ostatnio bo stwierdziłem, że i tak nie korzystam z niej, a to zawsze jedna dziura mniej. Aha i używam ostatnio Sandboxie do Chrome (ma dostęp do ustawień, ciasteczek itp.) czy to już daje jakieś bezpieczeństwo?
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Odpowiedz
#10
Eru napisał(a):Dlatego mówi się: "Łatać, łatać i łatać" ale i "Świat dzieli się na 2 typy ludzi: Ci którzy robią kopię zapasową i tych którzy zaczną ją robić" Wink


Jakby robili kopię to i tak pół bidy jak to się mówi Smile Nie tyło by tematu pewnie.
A w tym wypadku/przypadku to trzeba powiedzieć, że świat się dzieli na tych co łatają, albo zaczną łatać jak odzyskają dane (jeśli nie będzie kodowania po drodze)Grin
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#11
W SandboxIE testowałem i po restarcie wszystko wracało do normy.
Odpowiedz
#12
Kaspersky IS 2012 vs Ransomware FakePoliceAlert

Próba nr 1

Zaktualizowany Kaspersky nie wykrywał podczas skanu testowanej przeze mnie próbki Ransomware.

[Aby zobaczyć linki, zarejestruj się tutaj]


Dopiero po uruchomieniu Ransoma "Kontrola systemu" w Kasperskim wykryła i zablokowała działanie szkodliwej aplikacji.
Następnie kliknąłem żeby Kasperski wyleczył i uruchomił ponownie system.

[Aby zobaczyć linki, zarejestruj się tutaj]


Po restarcie przeskanowałem system HitmanePro i Malwarebytes Anti-Malware.
Jak widać poniżej Kasperski skutecznie zablokował tego groźnego wirusa.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

(HitmanPro wykrył w bazach Kasperskiego wirusa?! Jak się mylę to proszę mnie poprawić.)

Próba zaliczona
________________

Próba nr 2

Tym razem uruchomiłem Ransoma przy wyłączonej ochronie antywirusa.

[Aby zobaczyć linki, zarejestruj się tutaj]


Oczywiście spodziewałem się takiego rezultatu jak na obrazku poniżej.

[Aby zobaczyć linki, zarejestruj się tutaj]


W tej próbie chodziło mi o to żeby sprawdzić czy testowany przeze mnie program poradzi sobie ze szkodliwą aplikacją po włączeniu jego ochrony w trybie awaryjnym.

Wszedłem w tryb awaryjny i uruchomiłem wcześniej wstrzymaną ochronę.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Po restarcie długo czekałem aż system się uruchomi.

[Aby zobaczyć linki, zarejestruj się tutaj]


W końcu coś się pokazało i nie było to czego oczekiwałem.
Myślałem, że Kasperski przy starcie systemu wykryje szkodliwy proces i go zablokuje.

[Aby zobaczyć linki, zarejestruj się tutaj]


Ponownie wszedłem do trybu awaryjnego (z dostępem do sieci) aby przeskanować system.
Kasperski nic nie znalazł z czego nie byłem zdziwiony, bo przecież wirus nie był w jego bazie.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Dopiero HitmanPro i Malwarebytes wykryły wirusa.
(Szkodliwy program usunąłem za pomocą Malwarebytes.)

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Po ponownym uruchomieniu dostęp do systemu został odblokowany.

[Aby zobaczyć linki, zarejestruj się tutaj]


Nie będę pisał żadnych wniosków z drugiej próby ze względu na to, że nie wiem czy inne antywirusy są w stanie sobie poradzić z tą próbą.
Jeśli znajdę program, który sobie poradził napiszę tu odpowiedni komentarz.
Odpowiedz
#13
Chętnie zobaczyłbym F-Secure, Nortona, Pandę, AVG i avasta!. Smile
Dzięki za test!
Odpowiedz
#14
F4z Twoja aktywność w testach jest imponująca:-) pamiętaj proszę jeszcze o tym, że kilka softow czeka na live securitySmile
Odpowiedz
#15
Pamiętam, pamiętam o testach z live security, maszyna wirtualna z Trend Micro Titanium Internet Security 2012 już czeka do testów.
Możliwe, że test będzie jeszcze dziś wieczoremGrin
Odpowiedz
#16
Może będzie Ci na rękę połączenie testówSmile możesz Najpierw wykończyć trend livem, wyczyścić jego pozostałości skanerami, a później dobić go ransomem:-).
Odpowiedz
#17
Nie lepiej zrobić migawkę maszyny?
Odpowiedz
#18
Zawsze robię kopię zapasową systemu z testowanym antywirusem. Każda próba jest przeprowadzana na czystym systemie więc raczej nie będę tego łączył. Po prostu przeprowadzę dwa oddzielne testy, jeden z LSP, a drugi z Ransomem (jeśli starczy mi czasu, bo prawie przez cały przyszły tydzień będę zajęty).Po skończeniu testów usuwam kopie ze względu na to, że za chwilę robię kolejny test.
Odpowiedz
#19
Z ciekawości sprawdziłem F-Secure TP, na szczęście mimo, że BitDefender nie posiada sygnatury dla próbki, DeepGuard blokuje wszelkie szkodliwe działania.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#20
Zapewne tego wirusa pokonuje FileMedicSmile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości