前言

近期，我們發現一款名為”愛馬仕”的勒索病毒又開始在國内傳播，該勒索病毒此次的主要攻擊目标是windows服務器。目前流行的服務器勒索病毒中，有超過九成是通過遠程桌面進行傳播的。該勒索病毒更讓人頭痛的一點是，它除了不加密exe、dll、ini、lnk幾種類型的文件外，其餘的類型的文件它都會加密。在這裡再次提醒大家，開啟服務器遠程桌面時需要謹慎處理，萬不可在使用弱口令的機器上開啟，不要有僥幸心理。

敲詐提示信息

樣本分析

初始化工作

· 磁盤容量不足不加密

首先，勒索病毒會檢測中招者磁盤的剩餘量，如果獲取磁盤剩餘量失敗或者是磁盤的容量不足4G，勒索病毒就會停止工作。

獲取磁盤剩餘量容量

若磁盤空間充足，則會通過動态獲取的方法加載後續操作所需要的函數，以此來躲避殺毒軟件的靜态查殺。下圖僅列出一部分

動态獲取函數

·俄語系統不加密

同許多泛俄語系勒索病毒一樣——病毒會通過查詢SYSTEM\CurrentControlSet\Control\Nls\Language注冊表鍵值來檢測當前操作系統的語言，若發現系統語言是俄語、烏克蘭語或白羅斯語則不會繼續加密。曾經名噪一時的Locky家族勒索病毒的代碼中，也有類似的判斷邏輯，我們有理由相信這是一種病毒作者對泛俄語地區用戶的保護。

判斷系統語言

該勒索病毒同時還會對系統版本是XP、Server2000、Server2003和Server2003 R2的中招機器進行額外的内存處理。

獲取系統版本

由于在以上這些系統中，生成的密鑰對和密鑰容器都會被存儲在内存中。所以勒索病毒會額外清空一下内存中的密鑰容器内容和密鑰對，避免在内存中找到密鑰對從而恢複被加密的文件。

清空内存中存儲的密鑰

文件加密部分

該勒索病毒會在本地生成兩個文件

1.PUBLIC：病毒在本地生成的RSA密鑰對中的公鑰部分

2.UNIQUE_ID_DO_NOT_REMOVE：包含兩部分。

a)用病毒在本地生成的AES密鑰加密在本地生成的RSA密鑰對中的私鑰的密文

b)用在病毒中硬編碼的RSA公鑰加密本地生成的AES密鑰的密文

下圖是第一部分所說的，病毒在本地進行的RSA密鑰對生成動作以及将密鑰對中的RSA公鑰寫入到PUBLIC文件中

RSA公鑰寫入PUBLIC文件

接下來是UNIQUE_ID_DO_NOT_REMOVE文件的生成。其第一部分是用256位的AES密鑰去加密2048位的RSA的私鑰。而第二部分是用病毒中硬編碼的RSA的公鑰去加密AES密鑰。

生成UNIQUE_ID_DO_NOT_REMOVE文件

完成後，病毒會将剛剛生成的PUBLIC文件中的RSA公鑰讀取出來，在稍後進行的文件加密操作中，用于對加密密鑰的再加密工作。

從PUBLIC文件導入RSA公鑰

病毒會創建一個批處理腳本（bat）來啟動%TEMP%目錄下的勒索病毒主體。但是在後續操作中，并沒有将該病毒釋放到%TEMP%目錄裡，并沒有發現該腳本的存在有任何意義，這令分析人員頗為不解。

生成start.bat

勒索病毒讀取并解密自身資源，釋放勒索信息。

解密勒索信息

從自身資源中獲取勒索郵箱地址。郵箱地址有兩個：一個是dechhelp#airmail.cc，另一個是dechsupp#cock.lio。其中後者為備用郵箱。

解密出勒索作者郵箱

病毒遍曆文件的過程中，還會判斷當前盤符挂載的是否是隻讀光盤，若是，則不在對該磁盤進行加密操作。

判斷磁盤屬性

· 系統目錄不加密

在遍曆目錄的時候，如果遇到目錄包含Windows、AhnLab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS等字符串中的任意一個，病毒便會跳過對該目錄的加密。

加密時跳過指定目錄

接下來，病毒會先判斷正在掃描的目标是文件還是目錄：若是一個目錄就生成敲詐信，并進入該目錄繼續做遞歸掃描工作。若不是目錄，再判斷該文件是否是生成的敲詐信息或生成的唯一ID，均不是則繼續檢查文件的擴展名，若不是dll、exe、ini、lnk、hrmlog中的一個才會進行加密工作。

不加密指定的文件後綴

開始加密，病毒會讀取該文件内容到内存中，再對内容進行檢測——看文件内容中是否被寫入了HERMES标記，該敲詐者的名字“愛馬仕”就是取之于該标記。若找到标記則不再加密文件，僅将擴展名改為.HRM即可。

查找HERMES标識

若未找到HERMES标記，就開始加密文件。加密開始前，病毒會先生成一個256位的AES密鑰。

生成加密文件的AES密鑰

AES密鑰生成成功，則開始加密文件。

加密文件

加密完成後，寫入文件标識“HERMES”

寫入文件标識

最後，病毒将AES密鑰用PUBLIC中的RSA公鑰加密，再将加密後的AES密鑰寫入到文件尾部。

用RSA公鑰加密加密文件的AES密鑰

病毒對本地文件的加密工作全部完成後，還會嘗試枚舉網絡資源（如共享文件）去加密。全部完成後，還會再次清空内存中的會話密鑰，确保不會出現因密鑰殘留于内存中而被用于恢複文件的情況。

加密共享文件夾中的文件

下圖為文件被加密後的樣子。

被加密後的文件

加密相關文件情況如下圖。如果想要解密文件，就需要将UNIQUE_ID_DO_NOT_REMOVE交給作者，讓其用自己手裡的RSA私鑰解密出AES-256-1密鑰。然後用AES-256-1去解密出RSA-2048私鑰。再用RSA-2048私鑰去解密出每個文件中的AES-256-2密鑰。最後，用AES-256-2密鑰解密文件内容。

密鑰分部情況

後續處理

所有加密工作完成後，病毒還會進行一些其他的善後工作。首先是删除卷影副卷，以及删除後綴名為.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串類型的文件——因為這些文件都可能是備份文件。

删除備份文件

之後，并對會再次檢測桌面目錄中是否有生成敲詐信息，如果沒有就生成一份敲詐信息。确認敲詐信息存在後，病毒會将這份桌面上的 DECRYPT_INFORMATION.html敲詐信息文件直接運行起來。最後删除病毒自己。

運行敲詐信息并删除自身

敲詐提示信息

敲詐信息中向中招者索要0.8個比特币，按發稿時彙率換算，相當于人民币32000元。這麼貴的解密費用，也配得上“敲詐界奢侈品”的稱号。

與黑客郵件回話内容

總結：

在線服務器一直以來都是各路黑客最常見的攻擊目标，而勒索病毒為這類攻擊提供了一個新的變現渠道，一般而言服務器上的數據相較普通PC更具價值，被勒索後支付意願更高，讓此類攻擊也更加泛濫。對于大量的中小型企業，服務器的防護往往是一個被疏忽的部分，這裡必須要警惕這一點。尤其在開啟遠程桌面服務時，要注意一下幾點：

1.盡可能避免使用默認的用戶名，使用複雜口令（不要使用有規律可尋的口令）。

2.對多用戶賬戶的服務器，設置嚴格的管理策略，并強制登錄口令設置的複雜度。同時，管理員要嚴格控制每個賬戶的權限。

3.多台計算機組成局域網時，不要使用相同的用戶名和口令。

4.口令需要做到定期更換。

5.最後安裝一款靠譜的安全軟件，可以幫助輕松解決絕大部分安全問題！

*本文作者：360安全

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!