Обнаружен новый вымогатель, способный обходить UAC

Исследователь безопасности MalwareHunterTeam обнаружил потенциально новое семейство вымогательского ПО под названием Erebus, обладающее рядом интересных функций. В минувшем году эксперты TrendMicro сообщили о появлении крипто-вымогателя с аналогичным названием, однако несколько различий свидетельствуют о том, что в данном случае речь может идти о переработанной версии Erebus либо о совершенно новом вымогателе под таким же названием.

В настоящее время метод распространения Erebus неизвестен. Вредоносная программа обладает рядом особенностей, в числе которых способность обхода механизма UAC (Контроль учетных записей) для повышения прав на системе и чрезвычайно низкая сумма выкупа в размере 0,085 биткойна (порядка $90) за восстановление зашифрованных файлов.

Метод обхода UAC заключается в следующем. Вредонос копирует себя в системную папку как файл со случайным именем и затем вносит изменения в реестр Windows с целью подмены ассоциации для файлового расширения .msc и исполнения этого файла со случайным именем. Далее Erebus запускает файл eventvwr.exe (Просмотр событий), который автоматически открывает файл eventvwr.msc. Поскольку msc-файл больше не связан с mmc.exe (Консоль управления), то eventvwr.exe запустит файл вымогателя. Просмотр событий работает в режиме с повышенными правами, поэтому исполняемый файл будет иметь те же привилегии, что позволит обойти UAC.

Erebus подключается к ipecho.net/plain и ipinfo.io/country для определения IP-адреса жертвы, а также ее местоположения. Затем вредонос загружает Tor-клиент и использует его для подключения к управляющему серверу. Вымогатель осуществляет поиск документов с определенными расширениями и шифрует файлы при помощи алгоритма AES, а их расширения с помощью ROT-23. Далее на экран выводится сообщение с требованием выкупа за восстановление информации, содержащее уникальный идентификатор, который может использоваться в качестве логина на платежном портале, список зашифрованных документов и кнопку для осуществления оплаты.