主页 > 最新imtoken官网下载 > 仿Locky的中文勒索软件分析
仿Locky的中文勒索软件分析
1 概述
近日,安天CERT发现了一款勒索语言为中文的勒索软件。 该勒索病毒采用.net语言编写,模仿Locky勒索病毒,在加密文件后附加“.locky”后缀。 它首次出现于2020年9月,试图使用非对称加密RSA、对称加密AES和异或加密三种加密方式中的任意一种进行加密。 由于其非对称加密RSA和对称加密AES的部分功能并不完善,安天CERT推测该样本可能是测试版。 本次分析的样本采用的加密策略为异或加密,可以解密采用该方法加密的文件。
安天CERT在分析过程中发现,该勒索病毒包含解密程序,勒索窗口中有“查询当前支付状态及解密”按钮。 当用户点击按钮时,勒索软件获取比特币钱包地址,连接比特币官网查看账户当前钱包余额是否大于等于0.045BTC,如果大于等于0.045BTC,进行相应的解密操作,同时发现当前有一个比特币钱包地址收到了0.05BTC。
经验证,安天智能端点防御系统(简称IEP)勒索病毒防护模块可有效防范勒索病毒的加密行为。
2.勒索对应ATT&CK映射图
该勒索软件技术特征分布图:
图 2-1 勒索软件技术特征到 ATT&CK 的映射
具体ATT&CK技术行为描述表:
表2-1 具体技术行为描述表
三、保护建议
针对该勒索病毒,安天建议个人和企业采取以下防护措施:
3.1 个人防护
(1)安装终端保护:安装杀毒软件。 建议使用安天智铠的用户开启勒索病毒防御工具模块(默认开启);
(2) 加强密码强度:避免使用弱密码,建议使用16位或更长的密码,包括大小写字母、数字和符号的组合,避免多个服务器使用相同的密码;
(3)及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;
(4)定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离;
(5)确认邮件来源:接收邮件时,确认发件来源是否可靠,避免打开可疑邮件中的网址和附件。
3.2 企业保护
(1) 启用日志:启用关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志、cookie日志),为安全事件跟踪追溯奠定基础;
(2)设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接入站规则,将使用的IP地址或IP地址范围添加到规则中,防止规则外的IP被暴力破解;
(3) 主机加固:对系统进行渗透测试和安全加固;
(4) 容灾计划:建立安全的容灾计划,确保备份业务系统能够快速启动;
(5) 安全服务:如果被勒索软件攻击,建议及时断网,做好站点防护,等待安全工程师上门检查电脑。 安天提供7*24小时安全服务热线:400-840-9234。
目前,安天智能终端防御系统可实现对勒索病毒的检测、查杀和有效防护。
图3-1 安天智铠有效防护
图3-2 安天智家防止修改文件行为
四、勒索软件概述
表 4-1 勒索病毒概述
5. 样品分析
5.1 样本标签
表 5-1 样本标签
5.2 样本行为
5.2.1 勒索软件初始化
中文勒索软件是用 .net 语言编写的。 运行后,首先通过获取进程名判断是否执行了恶意代码。 如果已经执行比特币破解软件,会弹出“应用程序正在运行,请勿重复执行,第一次执行需要20分钟初始化”窗口,程序退出。
图 5-1 弹窗
判断“%USERNAME%\Documents\Driver”目录下是否有b.print文件,文件内容为“6688123”。 如果存在,则说明用户文件在支付赎金后已经解密,无需再次加密。 退出程序,否则重复加密。 所以这个文件可以作为这个勒索软件的免疫文件。
图5-2 判断文件中的flags
用IE浏览器打开hxxps://lihi1.cc/4kdW2(被攻陷主机,钓鱼网站),判断是否能连上网络。
图5-3 IE浏览器打开URL测试网
如果网络连接成功,将自身复制到“%USERNAME%\Documents\WindowsShell”目录下,并设置文件属性为隐藏。
图5-4 复制自身到相关目录
打开CMD命令行,隐藏它的窗口,在“%USERNAME%\Documents\WindowsShell”下运行复制的样本,然后退出它自己的程序。
图5-5 以隐藏模式打开命令行窗口
在“%USERNAME%\Documents\WindowsShell”目录下将自身添加到注册表中,实现开机自启动。
图 5-6 将自身添加到注册表
5.2.2 加密方式
通过对该勒索病毒的分析,安天CERT发现其试图使用非对称加密RSA、对称加密AES、异或加密三种加密方式中的任意一种。 不同的传入参数采用不同的加密方式,如下图:
图 5-7 三种加密方式
本次分析的样本使用的加密策略是异或加密,因此可以解密通过该方法加密的文件。 异或加密密钥如下表所示:
表 5-2 异或加密字符
XOR加密的具体加密方式是用指定长度的字符对指定文件的前100byte字符进行异或运算。
图5-8 指定长度的字符异或指定文件的前100byte字符
获取用户主机上的磁盘信息,如下图所示:
图5-9 获取用户主机磁盘信息
输入加密函数LockTXTFiles加密函数进行加密。 如下所示:
图 5-10 使用异或加密
试图模仿 Locky 勒索软件,在加密文件后附加“.locky”后缀。 具体格式为:+.locky。 如下所示:
图 5-11 添加“.locky”后缀
分析过程中发现该勒索病毒的非对称加密RSA和对称加密AES均未完成,推测为测试样本。 如下图,非对称加密RSA函数内容为空。
图5-12 非对称加密RSA函数内容为空
5.2.3 指定文件扩展名
加密指定扩展名的文件比特币破解软件,指定的扩展名如下表所示:
表5-3 勒索软件指定的后缀
5.2.4 派生文件示例
在运行过程中,会导出并隐藏多个文件。 具体导出的文件路径、文件名及其作用如下表所示:
表5-4 派生文件路径和文件及其作用
判断“%USERNAME%\Documents\WindowsShell”目录下是否存在“HttpAgilityPack.dll”,如果不存在则创建HttpAgilityPack.dll。 读取HttpAgilityPack.dll中是否有“ot”和“main”字符串,如果不存在则写入“ot 0 main”字符串。 由于此勒索软件没有调用 HttpAgilityPack.dll,因此其功能未知。