仿Locky的中文勒索软件分析

1 概述

近日，安天CERT发现了一款​​勒索语言为中文的勒索软件。 该勒索病毒采用.net语言编写，模仿Locky勒索病毒，在加密文件后附加“.locky”后缀。 它首次出现于2020年9月，试图使用非对称加密RSA、对称加密AES和异或加密三种加密方式中的任意一种进行加密。 由于其非对称加密RSA和对称加密AES的部分功能并不完善，安天CERT推测该样本可能是测试版。 本次分析的样本采用的加密策略为异或加密，可以解密采用该方法加密的文件。

安天CERT在分析过程中发现，该勒索病毒包含解密程序，勒索窗口中有“查询当前支付状态及解密”按钮。 当用户点击按钮时，勒索软件获取比特币钱包地址，连接比特币官网查看账户当前钱包余额是否大于等于0.045BTC，如果大于等于0.045BTC，进行相应的解密操作，同时发现当前有一个比特币钱包地址收到了0.05BTC。

经验证，安天智能端点防御系统（简称IEP）勒索病毒防护模块可有效防范勒索病毒的加密行为。

2.勒索对应ATT&CK映射图

该勒索软件技术特征分布图：

图 2-1 勒索软件技术特征到 ATT&CK 的映射

具体ATT&CK技术行为描述表：

表2-1 具体技术行为描述表

三、保护建议

针对该勒索病毒，安天建议个人和企业采取以下防护措施：

3.1 个人防护

(1)安装终端保护：安装杀毒软件。 建议使用安天智铠的用户开启勒索病毒防御工具模块（默认开启）；

(2) 加强密码强度：避免使用弱密码，建议使用16位或更长的密码，包括大小写字母、数字和符号的组合，避免多个服务器使用相同的密码；

(3)及时更新补丁：建议开启自动更新功能安装系统补丁，服务器应及时更新系统补丁；

(4)定期数据备份：定期对重要文件进行数据备份，备份数据应与主机隔离；

(5)确认邮件来源：接收邮件时，确认发件来源是否可靠，避免打开可疑邮件中的网址和附件。

3.2 企业保护

(1) 启用日志：启用关键日志收集功能（安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志、cookie日志），为安全事件跟踪追溯奠定基础；

(2)设置IP白名单规则：配置高级安全Windows防火墙，设置远程桌面连接入站规则，将使用的IP地址或IP地址范围添加到规则中，防止规则外的IP被暴力破解；

(3) 主机加固：对系统进行渗透测试和安全加固；

(4) 容灾计划：建立安全的容灾计划，确保备份业务系统能够快速启动；

(5) 安全服务：如果被勒索软件攻击，建议及时断网，做好站点防护，等待安全工程师上门检查电脑。 安天提供7*24小时安全服务热线：400-840-9234。

目前，安天智能终端防御系统可实现对勒索病毒的检测、查杀和有效防护。

图3-1 安天智铠有效防护

图3-2 安天智家防止修改文件行为

四、勒索软件概述

表 4-1 勒索病毒概述

5. 样品分析

5.1 样本标签

表 5-1 样本标签

5.2 样本行为

5.2.1 勒索软件初始化

中文勒索软件是用 .net 语言编写的。 运行后，首先通过获取进程名判断是否执行了恶意代码。 如果已经执行比特币破解软件，会弹出“应用程序正在运行，请勿重复执行，第一次执行需要20分钟初始化”窗口，程序退出。

图 5-1 弹窗

判断“%USERNAME%\Documents\Driver”目录下是否有b.print文件，文件内容为“6688123”。 如果存在，则说明用户文件在支付赎金后已经解密，无需再次加密。 退出程序，否则重复加密。 所以这个文件可以作为这个勒索软件的免疫文件。

图5-2 判断文件中的flags

用IE浏览器打开hxxps://lihi1.cc/4kdW2（被攻陷主机，钓鱼网站），判断是否能连上网络。

图5-3 IE浏览器打开URL测试网

如果网络连接成功，将自身复制到“%USERNAME%\Documents\WindowsShell”目录下，并设置文件属性为隐藏。

图5-4 复制自身到相关目录

打开CMD命令行，隐藏它的窗口，在“%USERNAME%\Documents\WindowsShell”下运行复制的样本，然后退出它自己的程序。

图5-5 以隐藏模式打开命令行窗口

在“%USERNAME%\Documents\WindowsShell”目录下将自身添加到注册表中，实现开机自启动。

图 5-6 将自身添加到注册表

5.2.2 加密方式

通过对该勒索病毒的分析，安天CERT发现其试图使用非对称加密RSA、对称加密AES、异或加密三种加密方式中的任意一种。 不同的传入参数采用不同的加密方式，如下图：

图 5-7 三种加密方式

本次分析的样本使用的加密策略是异或加密，因此可以解密通过该方法加密的文件。 异或加密密钥如下表所示：

表 5-2 异或加密字符

XOR加密的具体加密方式是用指定长度的字符对指定文件的前100byte字符进行异或运算。

图5-8 指定长度的字符异或指定文件的前100byte字符

获取用户主机上的磁盘信息，如下图所示：

图5-9 获取用户主机磁盘信息

输入加密函数LockTXTFiles加密函数进行加密。 如下所示：

图 5-10 使用异或加密

试图模仿 Locky 勒索软件，在加密文件后附加“.locky”后缀。 具体格式为：+.locky。 如下所示：

图 5-11 添加“.locky”后缀

分析过程中发现该勒索病毒的非对称加密RSA和对称加密AES均未完成，推测为测试样本。 如下图，非对称加密RSA函数内容为空。

图5-12 非对称加密RSA函数内容为空

5.2.3 指定文件扩展名

加密指定扩展名的文件比特币破解软件，指定的扩展名如下表所示：

表5-3 勒索软件指定的后缀

5.2.4 派生文件示例

在运行过程中，会导出并隐藏多个文件。 具体导出的文件路径、文件名及其作用如下表所示：

表5-4 派生文件路径和文件及其作用

判断“%USERNAME%\Documents\WindowsShell”目录下是否存在“HttpAgilityPack.dll”，如果不存在则创建HttpAgilityPack.dll。 读取HttpAgilityPack.dll中是否有“ot”和“main”字符串，如果不存在则写入“ot 0 main”字符串。 由于此勒索软件没有调用 HttpAgilityPack.dll，因此其功能未知。