Ερευνητές ασφαλείας ανακάλυψαν ότι το νέο Mailto ransomware (NetWalker) εισάγει κακόβουλο κώδικα στο Windows Explorer process, ώστε να αποφεύγει την ανίχνευση.
Αυτό το ransomware εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2019. Είναι γνωστό ως Mailto, λόγω της επέκτασης που προσθέτει στα αρχεία που κρυπτογραφεί. Ωστόσο, σύμφωνα με την ανάλυση ενός από τους decryptors του, οι δημιουργοί του ransomware το ονομάζουν NetWalker.
Σύμφωνα με μια επίθεση, που αποκαλύφθηκε στις αρχές Φεβρουαρίου, το Mailto δεν στοχεύει μόνο οικιακούς χρήστες, αλλά και επιχειρηματικά δίκτυα και κρυπτογραφεί όλες τις Windows συσκευές, που είναι συνδεδεμένες με αυτά.
Το Windows Explorer χρησιμοποιήθηκε για να κρύψει το ransomware
Σύμφωνα με τη εταιρεία ασφαλείας Quick Heal, το Mailto ransomware εγκαθιστά κακόβουλο κώδικα στο Windows Explorer process ακολουθώντας μια διαφορετική τεχνική.
Το Mailto ransomware δημιουργεί ‘scapegoat’ process στο Debug mode και χρησιμοποιεί debug APIs, όπως το WaitForDebugEvent, για να εκτελέσει την έγχυση κακόβουλου κώδικα.
Μετά την επιτυχή έγχυση του κακόβουλου payload, το κακόβουλο λογισμικό καταφέρνει να αποκτήσει πρόσβαση στη συσκευή, προσθέτοντας ένα registry RUN entry, και διαγράφει τα shadow copies του συστήματος για να μην μπορέσουν τα θύματα να επαναφέρουν τα δεδομένα τους μετά την κρυπτογράφηση.
“Το ransomware και η ομάδα πίσω από αυτό έχουν μία από τις πιο λεπτομερείς και πιο εξελιγμένες διαμορφώσεις που έχουν παρατηρηθεί ποτέ”, δήλωσε ο επικεφαλής της SentinelLabs, Vitali Kremez.
Όταν το Mailto ransomware κρυπτογραφεί τα αρχεία των θυμάτων, προσθέτει μια επέκταση με το format .mailto [{mail1}]. {id}. Για παράδειγμα, ένα αρχείο με όνομα 1.doc θα κρυπτογραφηθεί και στη συνέχεια θα μετονομαστεί σε 1.doc.mailto.
Το Mailto στέλνει, επίσης, ένα σημείωμα που περιέχει πληροφορίες σχετικά με το τι συνέβη στον υπολογιστή. Επιπλέον, δίνονται δύο διευθύνσεις email με τις οποίες πρέπει να επικοινωνήσει το θύμα για να μάθει το ποσό που πρέπει να πληρώσει ώστε να αποκρυπτογραφηθούν τα αρχεία του.
Καθαρίζει όλα τα ίχνη μετά την κρυπτογράφηση αρχείων
Μετά την κρυπτογράφηση, το ‘explorer.exe’ διαγράφει το αρχικό δείγμα, το αρχείο που εγκαταστάθηκε στο% ProgramFiles% και το RUN entry, σβήνοντας οποιοδήποτε ίχνος του Mailto ransomware.
Τα ransomware βρίσκεται υπό ανάλυση. Δεν γνωρίζουμε ακόμα αν υπάρχουν αδυναμίες στον αλγόριθμο κρυπτογράφησης, που θα μπορούσαν να χρησιμοποιηθούν για τη δωρεάν αποκρυπτογράφηση των αρχείων.
 εισάγει κακόβουλο κώδικα στο Windows Explorer process, ώστε να){kind=link}