logo

Ragnar Locker ransomware | Genco Rio - Segurança da Informação

publicado em:10/06/20 3:16 PM por: Renata Gonçalves NotíciaRansomwareSegurança Da InformçãoUncategorized

O ransomware Ragnar Locker, implementa máquina virtual para desviar da segurança.

Ransomware Ragnar Locker

Além dos arquivos do VirtualBox, o MSI também implanta um executável (chamado va.exe), um arquivo em lotes (denominado install.bat) e alguns arquivos de suporte. Após concluir a instalação, o MSI Installer executa o va.exe, que por sua vez executa o script em lote install.bat. A primeira tarefa do script é registrar e executar as extensões necessárias de aplicativos do VirtualBox VBoxC.dll e VBoxRT.dll e o driver do VirtualBox VboxDrv.sys:

% binapp% \ VBoxSVC.exe / reregserver
regsvr32 / S "% binpath% \ VboxC.dll"
rundll32 “% binpath% \ VBoxRT.dll, RTR3Init”
sc create VBoxDRV binpath = “% binpath% \ drivers \ VboxDrv.sys” tipo = início do kernel = erro automático = nome de exibição normal = PortableVBoxDRV
sc start VBoxDRV

O script continua para interromper o serviço de Detecção de Hardware do Shell do Windows, para desativar a funcionalidade de notificação de Reprodução Automática do Windows:

sc stop ShellHWDetection

Em seguida, o script executa um comando para excluir as cópias de sombra de volume do PC de destino, para que as vítimas não possam restaurar versões mais antigas e não criptografadas de seus arquivos:

vssadmin delete shadows / all / quiet

O script install.bat continua a enumerar todos os discos locais, unidades removíveis conectadas e unidades de rede mapeadas na máquina física, para que eles possam ser configurados para serem acessados ​​de dentro da máquina virtual:

 

mountvol | encontre "} \"> v.txt

(Para / F %% i In (v.txt) Faça (
      Definir freedrive = 0
      PARA %% d IN (CDEFGHIJKLMNOPQRSTUVW XYZ) DO (
            SE NÃO EXISTIR %% d: \ (
                  SE "! Freedrive!" == "0" (
                        Definir freedrive = %% d
                  )
            )
      )
      mountvol! freedrive !: %% i
      ping -n 2 127.0.0.1
))
Definir driveid = 0
PARA %% d IN (CDEFGHIJKLMNOPQRSTUVW XYZ) DO (
      SE EXISTIR %% d: \ (
            Definir / a driveid + = 1
            eco ^ <Nome da pasta compartilhada = ”! driveid!” hostPath = ”%% d: \” gravável = ”verdadeiro” / ^> >> sf.txt
         )
)


Esses comandos gravam texto na lista de Pastas compartilhadas do arquivo de configuração do VirtualBox, como:

 

<SharedFolders>

<Nome da pasta compartilhada = "1" hostPath = "C: \" gravável = "true" />

<Nome da pasta compartilhada = "2" hostPath = "E: \" gravável = "true" />

</SharedFolders>

Para construir o arquivo de configuração micro.xml VirtualBox, necessário para iniciar a máquina virtual micro.vdi, os seguintes comandos executados:

digite vm1.txt> micro.xml

eco ^ <contagem de CPU = "1" ^>> pn.txt

digite pn.txt >> micro.xml

digite vm2.txt >> micro.xml

digite sf.txt >> micro.xml

digite vm3.txt >> micro.xml

A VM é configurada com 256 MB de RAM, 1 CPU, um único arquivo HDD de 299 MB micro.vdi e um adaptador de rede Intel PRO / 1000 conectado ao NAT.

Agora que o ambiente virtual está preparado, o comando install.bat percorre uma lista de nomes de processos e finaliza esses processos para que todos os arquivos abertos sejam desbloqueados e se tornem acessíveis para criptografia. Esta lista de 50 entradas consiste principalmente em aplicativos de linha de negócios, aplicativos de banco de dados, gerenciamento remoto e backup e é armazenada em um arquivo de texto. Outro arquivo de texto contém nomes de serviços. Eles são adaptados ao ambiente de rede da organização vítima, incluindo nomes de processos e serviços pertencentes ao software de proteção de terminais.

Com o ambiente preparado adequadamente, o script install.bat inicia a máquina virtual com este comando:

“% Binpath% \ VboxHeadless.exe” - inicie o micro -v off

Aqui está uma ilustração do processo de instalação, capturado pelo Sophos Intercept X:
imagem

 

Ransomware Ragnar Locker

As etapas a seguir podem ser identificadas nos logs da análise de causa raiz (RCA):

  1. O Microsoft Installer (msiexec.exe) executa
  2. O pacote MSI é baixado
  3. bat é executado: cmd.exe / c “C: \ Arquivos de Programas (x86) \ VirtualAppliances \ install.bat”
  4. Tentativas de finalizar o processo do antivírus: taskkill / IM SavService.exe / F
  5. Tentativas de interromper o serviço antivírus e outros processos: sc stop mysql
  6. Monta redes acessíveis compartilhadas com as letras de unidade disponíveis: mountvol E: \\? \ Volume {174f8ec6-d584-11e9-8afa-806e6f6e6963} \
  7. Inicia o VirtualBox no modo decapitado: C: \ Arquivos de programas (x86) \ VirtualAppliances \ app64 \ VBoxHeadless.exe ”- inicie o micro-v desativado
  8. Exclui cópias de sombra: vssadmin delete shadows / all / quiet

A máquina virtual

Como mencionado, a VM convidada é uma edição MicroXP do sistema operacional Windows XP e é incluída em um único arquivo chamado micro.vdi.

O executável do ransomware é encontrado em C: \ vrun.exe. O ransomware é compilado exclusivamente por vítima, pois a nota de resgate solta contém o nome da vítima.

Para iniciar o ransomware, um arquivo em lotes chamado vrun.bat está localizado em C: \ Documents and Settings \ Administrator \ Menu Iniciar \ Programas \ Inicialização \.

Este arquivo em lotes contém os seguintes comandos:

@echo off
ping -n 11 127.0.0.1
uso líquido E: \\ VBOXSVR \ 1
para %% d em (2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33) faça (se existir \\ VBOXSVR \ %% d uso líquido * \\ VBOXSVR \ %% d)
:a
ping -n 3 127.0.0.1
C: \ vrun.exe -vm
goto a

 

Esse script monta as unidades compartilhadas configuradas em micro.xml na máquina host, dentro da VM convidada. Isso significa que agora o ransomware no ambiente convidado pode acessar totalmente os discos locais do host, a rede mapeada e as unidades removíveis. Agora todas as unidades estão montadas, o ransomware vrun.exe é executado.
O programa rromomware vrun.exe possui algumas opções possíveis de linha de comando:

-cópia de segurança
-Lista
-força
-vm
O último é usado por essa configuração e, nesse modo, o ransomware criptografa os arquivos em todas as unidades de rede mapeadas disponíveis.

Em seguida, o ransomware descarta a nota de resgate personalizada:

Ransomware Ragnar locker

Ransomware Ragnar Locker

 

Como o aplicativo de ransomware vrun.exe é executado dentro da máquina virtual, seus processos e comportamentos podem ser desimpedidos, porque estão fora do alcance do software de segurança na máquina host física. Os dados em discos e unidades acessíveis na máquina física são atacados pelo processo “legítimo” do VboxHeadless.exe, o software de virtualização VirtualBox.

Agradecimentos
Os seguintes funcionários da Sophos contribuíram para este relatório:

Vikas Singh
Sabonete Gabor
Mark Loman

Fonte e imagens: Sophos Labs News


Leia também:

Erros ao comprar Soluções de Segurança

Sophos o que é Intercept X





Comentários



Adicionar Comentário




8 + 1 =