Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

Шифровальщик NEXTCRY

sh00m
 Поделиться

Рекомендуемые сообщения

sh00m

sh00m

Опубликовано
Опубликовано (изменено)

Коллеги, обнаружил нового зловреда (он себя называет NextCry) на своём linux-сервере NextCloud.

Антивирус Касперского его не обнаруживает!

Во вложении (пароль 123) файлы с промежуточными результатами моего анализа (логи strace, ltrace, gdb, телом шифровальщика, зашифрованными файлами и файлами которые он распаковывает во временную папку). Шифровальщик целенаправленно поражает nextcloud сервера (читает директорию с данными из его конфига и их шифрует). Написан на python и предположительно упакован в исполняемый elf-файл программой pyinstall, после чего динамически обсфуцирован pwnstaller. К нам на сервер его залили пайлоадом из Kali через уязвимость PHP.

Прошу помощи в расшифровке и надеюсь мои изыскания помогут сделать антивирус лучше. Спасибо.

nextcry_data.rar

Изменено пользователем Sandor
Вложение прикрепил к сообщению
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Инструменты лечения, используемые в этом разделе, нацелены на системы семейства Windows.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

sh00m

sh00m

Опубликовано
  • Автор
Опубликовано

Уже создал, но подумал, может у кого-то есть релевантный опыт и он сможет помочь ... или мои материалы будут кому-то полезны. 

Sandor

Sandor

Опубликовано
Опубликовано

Результат обращения в ТП сообщите здесь, пожалуйста.

sh00m

sh00m

Опубликовано
  • Автор
Опубликовано (изменено)

Результат обращения в ТП сообщите здесь, пожалуйста.

 

Обязательно отпишу, собственно сейчас основная задача получить питоновский исходник из приложенного к первому посту elf'а, это по силам любому реверс-инженеру знакомому с отладчиком под никсами, как только увидим сам скрипт nextcry.py сразу всё станет понятно(есть возможность расшифровать или нет). У меня есть надежда, что кто-то на форуме сможет это сделать ... 

Изменено пользователем sh00m
sh00m

sh00m

Опубликовано
  • Автор
Опубликовано (изменено)

Всё - расходимся:

 

Алгоритм работы этого зловреда такой:

  1. Файлы размером < 1000000 байт шифруются полностью. У файлов, бОльших указанного размера, шифруются первые 1000000 байт и записываются в конец файла. Исходные данные перезаписываются мусором;
  2. Generate_key возвращает криптостойкий ключ для алгоритма (AES) шифрования файлов;
  3. Для каждого файла генерируется свой уникальный ключ;
  4. В теле шифровальщика зашит публичный ключ RSA (он нужен для шифрования использованных ключей AES);
  5. Файл keys.enc содержит зашифрованные с помощью этого паблик-ключа RSA использованные файловые AES-ключи.

Итого:

Секрет, который нужно знать для расшифровки файлов, - это приватный ключ RSA, парный известному паблик-ключу, зашитому в енкодере. В использованной криптосхеме этот секрет никак не разглашается.
Вычислить же его, во всяком случае за практически разумное время мне не представляется возможным. Следовательно, получить ключ для расшифровки файлов можно только у того, кто им владеет (вообще говоря, только у автора/хозяина троянца).

 

[Добавлено]

Техническая поддержка Касперского подтвердила. Уважаемый пользователь, вирусные аналитики сообщили следующее: 

 

nextcry_elf - Trojan-Ransom.Python.NextCry.a Детектирование будет добавлено в базы продукта, благодарим за помощь.

 

  1. Троян содержит в себе публичный ключ злоумышленника RSA-2048 (RSAPUBLICKEY);
  2. Для каждого шифруемого файла троян генерирует новый ключ длиной 128 бит, кодирует его в base64 (generate_key). Затем от этого вычисляется sha256 (AESCipher.init), и результат используется как ключ AES-256 в режиме CBC для шифрования содержимого файла;
  3. Сгенерированные 128-битные ключи впоследствии шифруются RSA на RSAPUBLICKEY, результат сохраняется в "keys.ENC".

 

Чтобы расшифровать файлы, нужно знать приватный ключ RSA злоумышленника, который соответствует публичному ключу RSAPUBLICKEY. Троян не содержит его.

 

P.S. Исходники сего зловреда могу выслать по запросу, т.к. тут публиковать вредоносный код не комильфо.


P.P.S. Ребята на смежном форуме заметили, что как то странно формируются ключи: автор зловреда рассчитывает его на основе 32-байтового размера блока, а AES использует только 16 байтов для своих блоков. Но по этому поводу есть и такое мнение.

Изменено пользователем sh00m
sh00m

sh00m

Опубликовано
  • Автор
Опубликовано (изменено)

Анализ показал, что если на фазе шифрования файлов энкодер прервали - всё очень плохо:
в этом случае в stdout'е ничего ещё не будет и файл keys.enc еще не будет создан.

Последовательность такая:

  1. проход по дереву фс и шифрование файлов
  2. переименование зашифрованных файлов (base64- кодирование оригинальных имен )
  3. вывод ключей в stdout
  4. шифрование ключей и запись keys.enc

Прерывание на фазе 1 или 2 фатально в смысле потери ключей для всех!

Изменено пользователем sh00m

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Киберсокол
      Совместимость Firefox Browser и Kaspersky for Linux
      Автор Киберсокол
      Согласно справке (https://support.kaspersky.ru/kaspersky-for-linux/2.0/287140), браузер Firefox входит в список поддерживающихся браузеров. Защита от веб-угроз работает действительно в Firefox. Несмотря на эту работоспособность, я обнаружил, что при включении такого компонента не все сайты в Firefox, в отличие от браузеров на движке Chromium (подразумевает Яндекс Браузер, Opera и Chrome), стали долго грузиться или, по другому говоря, зависаться на загрузке, и через кнопку «Перезагрузить сайты» сразу открывались, как обычно. В случае отключения защиты от веб-угроз сайты в Firefox как обычно открываются. Добавляю, на домашней странице Firefox отображается фон из альбома от интернета, а при открытии Firefox с включенной защитой от веб-угроз этот фон не отображался на домашней странице, а без защиты отображался.
       
      Браузер Firefox был установлен через репозиторий в ОС Альт 11.
       
      Если кто-то сталкивался с этой проблемой, пожалуйста, поделитесь решением проблемы
    • Roman_Hz
      Дистрибутив Kaspersky security center 14.2 для linux
      Автор Roman_Hz
      Здравствуйте. Очень прошу поделиться дистрибутивом Kaspersky security center 14.2 для debian linux, веб консолью и агентом администрирования для  linux (debian) и windows. Заранее спасибо. 
    • Артём Муняев
      Могу ли я поставить 2 Kaspersky Security Center Web Console на разные АРМ (linux, windows) и подключить их к одному серверу с KSC (linux)?
      Автор Артём Муняев
      Могу ли я поставить 2 Kaspersky Security Center Web Console на разные АРМ (linux, windows) и подключить их к одному серверу с KSC (linux)?
    • Rgn
      Создание инсталяционного пакета KES + NetAgent
      Автор Rgn
      Добрый день, коллеги
      Сейчас формирую инсталиционный пакет для ОС Linux.
      Нашел на форуме подобный запрос, но ссылка не актуальна.
      Подскажите, с формированием инсталяционного пакета KES + NetAgent, как проходит данный процесс в KSC, тк скачал  отдельно агент и отдельно антивирус.
      а не понимаю как их смэтчить 
    • Dmirty
      Debian 12.11 и Kaspersky 12.2.0
      Автор Dmirty
      Доброе утро! Столкнулся с проблемой, установил Kaspersky Endpoint Security и Agent на Debian 12.11. Kaspersky Security Center увидел касперский без проблем, но само приложение пишет что "Защита остановлена". Несколько раз переустанавливал ничего не помогает. Подскажите пожалуйста какие-нибудь идеи?
×
×
  • Создать...