Ένα νέο ransomware, που έχει γίνει γνωστό με το όνομα 5ss5c, φαίνεται ότι έχει δημιουργηθεί από την ίδια ομάδα που βρίσκεται πίσω από το Satan ransomware. Επίσης φημολογείται ότι η ομάδα είναι δημιουργός των DBGer και Lucky ransomware και πιθανότατα του Iron ransomware.
Όπως αναφέρει ο Bart Blaze, η κακόβουλη ομάδα σχεδιάζει το ransomware 5ss5c τουλάχιστον από τον Νοέμβριο του 2019 και πιθανώς ο κακόβουλος κώδικας είναι ακόμα υπό ανάπτυξη. Οι ειδικοί ανακάλυψαν ότι ο κακόβουλος κώδικας περιέχει ένα Enigma VirtualBox, που ονομάζεται poc.exe.
“Υπάρχουν κάποιες ενδείξεις που φανερώνουν ότι το 5ss5c βρίσκεται ακόμα σε ενεργό ανάπτυξη και προέρχεται από το Satan Ransomware”, αναφέρει ο Blaze σε μία ανάρτησή του.
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Όπως αναφέρει περεταίρω ο εμπειρογνώμονας ασφαλείας, ανακάλυψε αρκετά στοιχεία που υποδηλώνουν ότι το 5ss5c προέρχεται από το Satan ransomware, ένα εκ των οποίων είναι ότι οι ενημερώσεις για το Satan σταμάτησαν τον περασμένο Νοέμβριο, όταν εμφανίστηκε για πρώτη φορά το 5ss5c.
Το 5ss5c ξεκινά τη διαδικασία μέσω ενός προγράμματος λήψης και εκμεταλλεύεται το EternalBlue exploit για να εξαπλωθεί. Όπως αναφέρει ο Blaze, πολλά στοιχεία, τεχνικές και διαδικασίες (TTP) του 5ss5c, παρουσιάζουν ομοιότητες τόσο με το Satan όσο και με το DBGer και εν μέρει με το Iron ransomware.
Το αρχείο poc.exe μεταφέρεται στο C: ProgramDatapoc.exe και εκτελεί την εντολή:
cd /D C:ProgramData&star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload C:ProgramDatadown64.dll –TargetIp
που είναι παρόμοια με την εντολή που εκτελείται από το Satan ransomware:
cmd /c cd /D C:UsersAlluse~1&blue.exe –TargetIp & star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload down64.dll –TargetIp
Τόσο το Satan όσο και το 5ss5c έχουν μια λίστα αποκλεισμού αρχείων που δεν είναι κρυπτογραφημένα από κακόβουλους κώδικες. Στη λίστα των νέων ransomware περιλαμβάνονται πρόσθετα αρχεία, όπως αυτά που σχετίζονται με το Qih00 360 (αρχεία 360download και 360safe).
Μόλις το ransomware εκτελεστεί, εμφανίζει ένα σημείωμα στα κινέζικα που απαιτεί 1 bitcoin για να αποκρυπτογραφήσει τα αρχεία του θύματος.
Αν το θύμα δεν πληρώσει τα λύτρα μέσα σε 48 ώρες, το ποσό διπλασιάζεται. Στο μήνυμα δεν περιλαμβάνεται κάποιο email για επικοινωνία με τους hacker ή για την πραγματοποίηση της πληρωμής. Αντ’ αυτού το ransomware προσθέτει τη διεύθυνση ηλεκτρονικού ταχυδρομείου (5ss5c (at) mail [.] Ru) στο όνομα κάθε κρυπτογραφημένου αρχείου, για παράδειγμα ένα αρχείο test.txt θα έχει την εξής μορφή: [5ss5c@mail.ru]test.txt.Y54GUHKIG1T2ZLN76II9F3BBQV7MK4UOGSQUND7U.5ss5c.