СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

Tranium — уничтожитель MBR, шифрование AES-CBC

Новый анализ выявил опасный вредоносный бинарный файл под названием Tranium. Это ~6 МБ исполняемый файл, написанный на Go, который проявляет _разрушительное_ поведение на инфицированных системах: хотя он использует шифрование AES-CBC, его основная цель — необратимое уничтожение данных и вывод системы из строя, а не получение выкупа.

Краткие факты

  • Тип: вредоносный бинарный файл на языке Go, размер ~6 МБ.
  • Хеши файла: 
    SHA256: 06430cf9e0ec9fb5b783db7c01fd59bd651d8877143fc45d2bcd7e4dedaf94a6
MD5: 5dc62f4c65df422f1e7a0e691b1a075b
  • Использует AES-CBC для блокировки файлов, но главным образом действует как уничтожитель (wiper).
  • Перезаписывает MBR на трёх физических накопителях и повреждает более 30 критически важных системных файлов, включая файлы загрузочной цепочки и хранилища реестра.
  • Отсутствуют признаки механизма выкупа: нет адресов кошельков, нет каналов связи с операторами.
  • Сетевая активность через HTTPS — используется конкретный URL для загрузки обоев и аудиофайлов.

«Tranium не использует никаких механизмов оплаты или коммуникации, которые обычно ассоциируются с программами-вымогателями, таких как адреса кошельков или способы связи, что подтверждает его классификацию как уничтожителя, а не программ-вымогателей.»

Техническое поведение и последовательность действий

Статический и динамический анализ указывает на специально спроектированную последовательность, при которой ключевые элементы загрузочной среды уничтожаются до начала любого шифрования пользовательских данных. Именно это делает восстановление практически невозможным:

  • Компрометация и перезапись MBR на нескольких физических накопителях.
  • Повреждение более 30 системных файлов, затрагивающих загрузочную цепочку и реестр.
  • Затем — выполнение процедур шифрования файлов (с использованием AES-CBC), но уже после нанесения фатального ущерба загрузочной инфраструктуре.

Последствие: даже при успехе извлечения ключа шифрования восстановление системы часто оказывается невозможным из‑за повреждения загрузчика и реестра.

Механизмы сохранения и уклонения

  • Создание ключей автозапуска в системном реестре.
  • Копирование исполняемых файлов в папки автозагрузки.
  • Создание запланированных задач, выполняющихся каждую минуту, чтобы быстро восстанавливать присутствие.
  • Перехват/захват средств доступности — например, экранной клавиатуры — так, что запуск этих утилит инициирует выполнение Tranium.
  • Отключение функций восстановления системы и инициирование BSOD (синий экран смерти) с целью усложнить восстановление.

Мультимедиа и сетевая активность

Помимо разрушительных действий, Tranium меняет обои рабочего стола на изображение YouTuber, известного тестированием вредоносного ПО, и воспроизводит аудио в рамках своего исполнения. Все ресурсы (обои, аудиофайлы) загружаются по HTTPS с конкретного URL.

Классификация и обнаружение

Несмотря на поведение уничтожителя, многие вендоры идентифицируют Tranium как ransomware по общим эвристическим сигнатурам — что объясняется пересечением признаков (шифрование файлов). Однако отсутствие коммуникационных каналов и механизмов выкупа категоризирует его как wiper, а не классическое ransomware.

Рекомендации по реагированию

  • Немедленно изолировать подозрительные системы от сети и внешних накопителей.
  • Не выполнять перезагрузку без консультации с IR‑командой — в отдельных случаях это может ускорить повреждение загрузочной среды.
  • Сохранить образ памяти и диска для последующего форензик‑анализа.
  • Проверить и временно отключить запланированные задачи и автозапуск, а также проверить записи реестра Run/RunOnce.
  • Использовать проверенные, офлайн‑копии резервных данных для восстановления — избегать восстановления с заражённых носителей.
  • Обновить сигнатуры и правила детекции у поставщиков безопасности; добавить IOC (хеши) в систему блокировки.
  • При массовом поражении — привлекать внешние IR‑команды и правоохранительные органы.

Заключение

Tranium демонстрирует, что наличие механизма шифрования не всегда указывает на цель вымогательства: вредонос может использовать криптографию как составляющую разрушительного набора инструментов. Главная угроза Tranium — _преднамеренное и необратимое повреждение_ загрузочной среды и критических системных компонентов, что делает своевременную детекцию и правильное реагирование ключевыми факторами минимизации ущерба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: