Monday, 25 April 2016

Jigsaw Ransomware

Intro

Το Jigsaw ransomware ειναι ενα νεο ransomware που κυκλοφορει εδω και 1 μηνα (περιπου).Ο λογος που γραφεται αυτο το αρθρο ειναι οτι παρολο που δεν εχει καποιο ιδιαιτερο χαρακτηριστικο (π.χ obfuscation , encryption) αποδεικνυει πως ο καθενας μπορει να 'γραψει' ενα ransomware.


Files Details

File Name: jigsaw.d.exe
SHA1:DCE911B1C05DA965C8733935723B88BC29D12756

Jigsaw

Ξεκιναμε βλεποντας τα αρχεια του ransomware (ειναι γραμμενο σε c# οποτε ευκολο το decompile).

Εικονα 1








Εικονα 2







Αρχικα, προκειμενου να αποκτησει persistence θα προσθεσει το .exe που εχει δημιουργηθει στον %temp% φακελο(Θα το δουμε στην συνεχεια) στο παρακατω σημειο του registry(Εικονα 3).

Εικονα 3







Στην Εικονα 4 φαινεται η συναρτηση που ειναι υπευθυνη για το encryption του καθε αρχειου.Οπως φαινεται, χρησιμοποιει AES με hardcore key και initialization vector(IV)(Εικονα 4). Εφοσον εχουμε αυτα τα στοιχεια, μπορουμε να κανουμε decrypt οποιο αρχειο θελουμε.
Εικονα 4















Αν το θυμα πληρωσει το ποσο που ζητειται τοτε ξεκιναει και το decryption. Το συγκεκριμενο ransomware ξεκιναει το decryption αν πληρωσουμε πανω απο 50 δολλαρια(Εικονα 5).

Εικονα 5










Το κυριο χαρακτηριστικο του jigsaw(και ο κυριος λογος που εγινε γνωστο) ειναι οτι σβηνει τα αρχεια του χρηστη καθε ωρα. Στις εικονες 6 και 7 αντιστοιχα βλεπουμε την συναρτηση που κανει το countdown και την συναρτηση που σβηνει το αναλογο αρχειο.


Εικονα 6












Εικονα 7















Στην εικονα 8 βλεπουμε τα εξης:Την καταληξη που θα εχουν τα encrypted αρχεια (δηλαδη .gws),το fake error message που θα εμφανιστει στον χρηστη μολις τρεξει το ransomware και το ονομα του αρχειου που θα δημιουργηθει στο %temp% (οπως ειπαμε στην Εικονα 3).
Εικονα 8













Τελος, αφου εχουν γινει ολα τα αρχεια decrypt, θα δημιουργησει ενα .bat αρχειο ωστε να σβηστει.(Εικονα 9)
Εικονα 9






Το συγκεκριμενο ransomware θα κανει encrypt τα αρχεια που εχουν αυτες τις καταληξεις (Εικονα 10).
Εικονα 10






BONUS

Οπως ειπαμε και πριν, το να γινει decrypt το καθε αρχειο ειναι εφικτο. Στην εικονα 11 βλεπουμε ενα αρχειο που εχει γινει encrypt απο το Jigsaw.
Εικονα 11











Και στην εικονα 12 βλεπουμε το αρχειο decrypted.

Εικονα 12