image

Ransomware struikelt over enkele quote bij overschrijven MBR harde schijf

zondag 6 september 2020, 11:40 door Redactie, 6 reacties
Laatst bijgewerkt: 06-09-2020, 14:00

Onderzoekers hebben een ransomware-exemplaar ontdekt dat naast het versleutelen van data ook de Master Boot Record (MBR) van de harde schijf probeert te overschrijven, maar door het weergeven van een enkele quote hier niet in slaagt. De variant van de Thanos-ransomware werd bij twee overheidsinstanties in het Midden-Oosten en Noord-Afrika aangetroffen, zo meldt securitybedrijf Palo Alto Networks.

Hoe de malware de organisaties kon infecteren is onbekend. Zodra de ransomware actief is op een systeem versleutelt die allerlei data. Een verschil met veel andere ransomware-exemplaren is dat de gevonden Thanos-varianten ook de MBR van de harde schijf proberen te overschrijven, waardoor het besturingssysteem niet meer kan starten. Een methode die niet vaak voorkomt, aldus de onderzoekers. De ontwikkelaars maakten hierbij een fout waardoor de MBR niet werd overschreven.

De ransomware probeert de MBR te vervangen door een boodschap met instructies voor het slachtoffer. Deze boodschap bevat de drie bytes "xe2\x80\x99", waarmee een enkele quote voor het woord don't wordt weergegeven. De ransomware probeert deze karakters om te zetten maar maakt hierbij een fout door één byte in de boodschap te vervangen, terwijl er drie bytes zijn opgegeven. Dit zorgt voor een fout waardoor het overschrijven van de MBR niet wordt uitgevoerd. In het geval de apostrof uit de boodschap wordt verwijderd blijkt het overschrijven wel gewoon te werken, zo merken de onderzoekers op.

Image

Reacties (6)
06-09-2020, 13:37 door Anoniem
"\xE2\x80\x99" is geen apostrof maar een Unicode RIGHT SINGLE QUOTATION MARK. Als je als malware schrijver 'fancy quotes' probeert te gebruiken...
06-09-2020, 15:15 door Anoniem
Door Anoniem: "\xE2\x80\x99" is geen apostrof maar een Unicode RIGHT SINGLE QUOTATION MARK. Als je als malware schrijver 'fancy quotes' probeert te gebruiken...
Beter een RIGHT Single Quotation Mark dan een WRONG Single Quotation Mark...

(er staat duidelijk in het artikel dat het mis gaat omdat de ransomware een fout maakt;
maar de hex sequence "xE2 x80 x99" is in principe goed)
07-09-2020, 02:09 door Anoniem
Volgens Palo Alto Networks gebruikt de ransomware de Convert.ToByte functie om elke byte afzonderlijk om te zetten. Wat dat verder met de MBR overschijven te maken heeft is me niet duidelijk, want als je een printfunctie gebruikt zou dat geen effect moeten hebben op de rest van de code. Er moet iets zijn wat bijvoorbeeld een exception veroorzaakt. Standaard printfuncties veroorzaken zelden een exception.

Het vervangen van de MBR gebeurt alleen op Windowsversies die niet 10 of 8 zijn. De bedoeling was waarschijnlijk dat het zou moeten werken met Windows 7. Windows 7 gebruikt soms GPT in plaats van MBR.

Als het inderdaad zo werkt als beschreven, dan is het slecht geschreven malware. Maar dat is niks nieuws.
07-09-2020, 12:38 door Anoniem
Sommige utf-8 characters nemen tot wel 3 bytes in beslag ipv asci characters die maar 1 byte gebruiken. Misschien is dat wel aan de hand hier, maar dit artikel houdt het wel vaag.
07-09-2020, 16:53 door Anoniem
opsporen en oppakken dat tuig, en 10 jaar de bak in op water en brood.
07-09-2020, 17:15 door Anoniem
die dit doen zeker 10 jaar de bak
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.