SHA1:
- 16b84004778505afbcc1032d1325c9bed8679b79
Троянец-шифровальщик для ОС Windows. Запускает на атакуемом компьютере приложение %SYSTEM%\svchost.exe и встраивается в его процесс, затем запускает отдельный тред для удаления собственной копии. Содержит в своем теле зашифрованную библиотеку, используемую для доступа к .onion-сайтам в сети TOR, которую самостоятельно загружает в память.
Троянец содержит в зашифрованном виде публичную часть мастер-ключа. Шифровальщик генерирует RSA-пару и сохраняет ее в файл с именем, созданным по шаблону *-Bravo NEW-*.key. Файл сохраняется в папку %COMMON_APPDATA% и шифруется, результирующий файл имеет имя *-Bravo NEW-*.key.aes_ni_0day. Файлы шифруются с использованием алгоритма AES, ключ для AES шифруется публичным ключом сгенерированной RSA-пары и записывается в хвост файла. В конце файлов сохраняется следующая информация:
| Смещение от начала хвоста | Длина | Данные |
|---|---|---|
| 0x00 | 0x08 | Маркер (453728192A384756) |
| 0x08 | 0x21 | PCID и терминирующий ноль |
| 0x29 | var | Оригинальное имя файла |
| 0x233 | 0x100 | Зашифрованный AES-ключ файла, шифрование – RSA (публичным ключом сгенерированной пары) |
В конце мая 2017 года в публичный доступ была выложена приватная часть мастер-ключа этого троянца, в связи с чем расшифровка поврежденных им файлов стала возможной.
