研究人员还发现一个名为Update_Collector.exe的恶意软件,该工具利用WMI收集的数据寻找网络上其他计算机和用户帐户的更多信息,随后将该信息转储到文件中,上传到攻击者的服务器。还发现了一系列其他合法的工具,包括 Process Hacker, IObit Uninstaller, PowerTool, 和 PsExec。在其他几起攻击中使用了完全相同的工具集,攻击者针对世界各地组织的进行攻击,包括美国、加拿大和几个欧洲国家。受害组织至少有一台或多台带有RDP的计算机暴露在internet上。
在攻击过程中的某个时间点(可能是在初始网络攻击后几天到几周),攻击者将勒索软件组件下载到目标计算机。此组件名称包括每个受害者唯一五个字符代码和“_pack.exe”。
下载勒索软件并通过PSEXEC启动
当恶意软件调用PSEXEC服务来执行勒索软件时,它已将自己解压缩到Windows文件夹中,并使用相同的五个字符和“unpack.exe”。
The “unpack” version ends up in the Windows directory
勒索软件将自己安装为一个名为SuperBackupMan的Windows服务。服务描述文本“This service make backup copy every day,”有助于其在服务列表中隐藏。此注册表项在计算机开始重新启动之前立即设置。
SuperBackupMan服务可组织用户停止或暂停。
恶意软件将此key添加到Windows注册表中,以便在安全模式引导期间启动。
HKLMSYSTEMCurrentControlSetControlSafeBootMinimalSuperBackupMan:Default:Service
使用Windows上的BCDEDIT工具发出命令,将Windows操作系统设置为以安全模式启动,然后立即强制重新启动受感染的计算机。
bcdedit.exe /set {current} safeboot minimal
shutdown /r /f /t 00
当计算机在重新启动后进入安全模式,恶意软件使用Windows组件net.exe停止SuperBackupMan服务,然后使用Windows组件vssadmin.exe删除系统上的所有Volume Shadow副本,可阻止技术人员对勒索软件加密的文件进行取证恢复。
net stop SuperBackupMan
vssadmin delete shadows /all /quiet
勒索软件然后开始加密受感染机器的本地硬盘上的文件。
Snatch影响分析勒索软件在加密文件中会附加一个由五个字母数字字符组成的伪随机字符串。此字符串出现在勒索软件可执行文件名和勒索通知中,并且对于每个目标组织都是唯一的。例如,如果勒索软件名为abcdex64.exe,则加密的文件将文件扩展名.abcde附加到原始文件名后,勒索信息使用诸如README_abcde_files.txt或DECRYPT_abcde_DATA.txt之类的命名规范。
一家专门从事勒索受害者和攻击者之间的谈判的公司称,从7月到10月,他们已经代表客户12次与罪犯谈判。赎金从2000美元到35000美元不等,四个月内呈上升趋势。
与许多其他勒索软件一样, Snatch对于某些文件和文件夹位置列表不会加密。通常勒索软件这样做是为了维护系统的稳定性,将目标集中在工作文档或个人文件上。它跳过的位置包括:
C:
windows
recovery
$recycle.bin
perflogs
C: ProgramData
start menu
microsoft
templates
favorites
C:Program Files
windows
perflogs
$recycle.bin
system volume information
common files
dvd maker
internet explorer
microsoft
mozilla firefox
reference assemblies
tap-windows
windows defender
windows journal
windows mail
windows media player
windows nt
windows photo viewer