Ransomware elemzése - Szerzői jog megsértésére vonatkozó értesítés - DLA Piper

Ma email-ben érkezett a jóság az ügyfél egyik központi e-mail címére. 

Feladó: DLA Piper és egy gmail-es cím
Tárgy: Szerzői jog megsértésére vonatkozó értesítés - DLA Piper

A tartalma meg kb. az, hogy jogi értesítés, és szépen magyarul - bár még érződik rajta, hogy AI csinálta a fordítást - megfogalmazva, hogy a Facebook-on közzétett anyag jogsértő, blabla. És akkor egy piros PDF ikon (Fájl nyilvántartás: A szellemi tulajdon jogainak megsértése.pdf). Emögött egy t2m.io link, ami egy cirka ~150 megás zip. Benne egy 50 megás semmi, egyéb szemetek, egy 25 megás PDF fájl, ami valójában egy sokezer soros (nyilván hibás) PEM Certificate. És az ominózus Szellemi_tulajdonjog_megsértésének_bizonyítékai.exe fájl. A marketing osztály több tagját is triggerelte az eddigi tartalom és elindították... Baj nem lett belőle, mert működött a védelem, de hát idáig sem kellett volna eljutnunk. A tisztánlátás végett belenéztünk elég alaposan, hogy mi is jött be, és rengeteg megtévesztő szemét mellett sok base64, gzip, base85, újabb link, python kód, megint base85, pastebinről letöltőtt python kód, marshal, stb... körön keresztül eljutottunk az RSA private key-ig és még valamilyen kulcsig. A vége egy Python marshal kód, amit már nem fejtettünk vissza, de nem is olyan triviális, mert meg van zagyválva alaposan. Viszont tisztán látható volt benne (szintén base85, gzip kódolva) az RSA kulcs. 

Ezt a posztot első sorban azoknak szánom, akik netán beleszaladnak ebbe vagy hasonlóba, és hátha segítséget nyújt a ma általunk összegyűjtött info. Az egészről készült munkakönyvtárat feltöltöttem ide:
https://gist.github.com/andrewjsi/7877ce845769554d6484df8545a6b9fc

JSI