tft每日頭條

 > 健康

 > 勒索病毒已經變種

勒索病毒已經變種

健康 更新时间:2024-12-20 01:11:36

前言

近期,我們發現一款名為”愛馬仕”的勒索病毒又開始在國内傳播,該勒索病毒此次的主要攻擊目标是windows服務器。目前流行的服務器勒索病毒中,有超過九成是通過遠程桌面進行傳播的。該勒索病毒更讓人頭痛的一點是,它除了不加密exe、dll、ini、lnk幾種類型的文件外,其餘的類型的文件它都會加密。在這裡再次提醒大家,開啟服務器遠程桌面時需要謹慎處理,萬不可在使用弱口令的機器上開啟,不要有僥幸心理。

勒索病毒已經變種(愛馬仕勒索病毒)1

敲詐提示信息

樣本分析

初始化工作

· 磁盤容量不足不加密

首先,勒索病毒會檢測中招者磁盤的剩餘量,如果獲取磁盤剩餘量失敗或者是磁盤的容量不足4G,勒索病毒就會停止工作。

勒索病毒已經變種(愛馬仕勒索病毒)2

獲取磁盤剩餘量容量

若磁盤空間充足,則會通過動态獲取的方法加載後續操作所需要的函數,以此來躲避殺毒軟件的靜态查殺。下圖僅列出一部分

勒索病毒已經變種(愛馬仕勒索病毒)3

動态獲取函數

·俄語系統不加密

同許多泛俄語系勒索病毒一樣——病毒會通過查詢SYSTEM\CurrentControlSet\Control\Nls\Language注冊表鍵值來檢測當前操作系統的語言,若發現系統語言是俄語、烏克蘭語或白羅斯語則不會繼續加密。曾經名噪一時的Locky家族勒索病毒的代碼中,也有類似的判斷邏輯,我們有理由相信這是一種病毒作者對泛俄語地區用戶的保護。

勒索病毒已經變種(愛馬仕勒索病毒)4

判斷系統語言

該勒索病毒同時還會對系統版本是XP、Server2000、Server2003和Server2003 R2的中招機器進行額外的内存處理。

勒索病毒已經變種(愛馬仕勒索病毒)5

獲取系統版本

由于在以上這些系統中,生成的密鑰對和密鑰容器都會被存儲在内存中。所以勒索病毒會額外清空一下内存中的密鑰容器内容和密鑰對,避免在内存中找到密鑰對從而恢複被加密的文件。

勒索病毒已經變種(愛馬仕勒索病毒)6

清空内存中存儲的密鑰

文件加密部分

該勒索病毒會在本地生成兩個文件

1.PUBLIC:病毒在本地生成的RSA密鑰對中的公鑰部分

2.UNIQUE_ID_DO_NOT_REMOVE:包含兩部分。

a)用病毒在本地生成的AES密鑰加密在本地生成的RSA密鑰對中的私鑰的密文

b)用在病毒中硬編碼的RSA公鑰加密本地生成的AES密鑰的密文

下圖是第一部分所說的,病毒在本地進行的RSA密鑰對生成動作以及将密鑰對中的RSA公鑰寫入到PUBLIC文件中

勒索病毒已經變種(愛馬仕勒索病毒)7

RSA公鑰寫入PUBLIC文件

接下來是UNIQUE_ID_DO_NOT_REMOVE文件的生成。其第一部分是用256位的AES密鑰去加密2048位的RSA的私鑰。而第二部分是用病毒中硬編碼的RSA的公鑰去加密AES密鑰。

勒索病毒已經變種(愛馬仕勒索病毒)8

生成UNIQUE_ID_DO_NOT_REMOVE文件

完成後,病毒會将剛剛生成的PUBLIC文件中的RSA公鑰讀取出來,在稍後進行的文件加密操作中,用于對加密密鑰的再加密工作。

勒索病毒已經變種(愛馬仕勒索病毒)9

從PUBLIC文件導入RSA公鑰

病毒會創建一個批處理腳本(bat)來啟動%TEMP%目錄下的勒索病毒主體。但是在後續操作中,并沒有将該病毒釋放到%TEMP%目錄裡,并沒有發現該腳本的存在有任何意義,這令分析人員頗為不解。

勒索病毒已經變種(愛馬仕勒索病毒)10

生成start.bat

勒索病毒讀取并解密自身資源,釋放勒索信息。

勒索病毒已經變種(愛馬仕勒索病毒)11

解密勒索信息

從自身資源中獲取勒索郵箱地址。郵箱地址有兩個:一個是dechhelp#airmail.cc,另一個是dechsupp#cock.lio。其中後者為備用郵箱。

勒索病毒已經變種(愛馬仕勒索病毒)12

解密出勒索作者郵箱

病毒遍曆文件的過程中,還會判斷當前盤符挂載的是否是隻讀光盤,若是,則不在對該磁盤進行加密操作。

勒索病毒已經變種(愛馬仕勒索病毒)13

判斷磁盤屬性

· 系統目錄不加密

在遍曆目錄的時候,如果遇到目錄包含Windows、AhnLab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS等字符串中的任意一個,病毒便會跳過對該目錄的加密。

勒索病毒已經變種(愛馬仕勒索病毒)14

加密時跳過指定目錄

接下來,病毒會先判斷正在掃描的目标是文件還是目錄:若是一個目錄就生成敲詐信,并進入該目錄繼續做遞歸掃描工作。若不是目錄,再判斷該文件是否是生成的敲詐信息或生成的唯一ID,均不是則繼續檢查文件的擴展名,若不是dll、exe、ini、lnk、hrmlog中的一個才會進行加密工作。

勒索病毒已經變種(愛馬仕勒索病毒)15

不加密指定的文件後綴

開始加密,病毒會讀取該文件内容到内存中,再對内容進行檢測——看文件内容中是否被寫入了HERMES标記,該敲詐者的名字“愛馬仕”就是取之于該标記。若找到标記則不再加密文件,僅将擴展名改為.HRM即可。

勒索病毒已經變種(愛馬仕勒索病毒)16

查找HERMES标識

若未找到HERMES标記,就開始加密文件。加密開始前,病毒會先生成一個256位的AES密鑰。

勒索病毒已經變種(愛馬仕勒索病毒)17

生成加密文件的AES密鑰

AES密鑰生成成功,則開始加密文件。

勒索病毒已經變種(愛馬仕勒索病毒)18

加密文件

加密完成後,寫入文件标識“HERMES”

勒索病毒已經變種(愛馬仕勒索病毒)19

寫入文件标識

最後,病毒将AES密鑰用PUBLIC中的RSA公鑰加密,再将加密後的AES密鑰寫入到文件尾部。

勒索病毒已經變種(愛馬仕勒索病毒)20

用RSA公鑰加密加密文件的AES密鑰

病毒對本地文件的加密工作全部完成後,還會嘗試枚舉網絡資源(如共享文件)去加密。全部完成後,還會再次清空内存中的會話密鑰,确保不會出現因密鑰殘留于内存中而被用于恢複文件的情況。

勒索病毒已經變種(愛馬仕勒索病毒)21

加密共享文件夾中的文件

下圖為文件被加密後的樣子。

勒索病毒已經變種(愛馬仕勒索病毒)22

被加密後的文件

加密相關文件情況如下圖。如果想要解密文件,就需要将UNIQUE_ID_DO_NOT_REMOVE交給作者,讓其用自己手裡的RSA私鑰解密出AES-256-1密鑰。然後用AES-256-1去解密出RSA-2048私鑰。再用RSA-2048私鑰去解密出每個文件中的AES-256-2密鑰。最後,用AES-256-2密鑰解密文件内容。

勒索病毒已經變種(愛馬仕勒索病毒)23

密鑰分部情況

後續處理

所有加密工作完成後,病毒還會進行一些其他的善後工作。首先是删除卷影副卷,以及删除後綴名為.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串類型的文件——因為這些文件都可能是備份文件。

勒索病毒已經變種(愛馬仕勒索病毒)24

删除備份文件

之後,并對會再次檢測桌面目錄中是否有生成敲詐信息,如果沒有就生成一份敲詐信息。确認敲詐信息存在後,病毒會将這份桌面上的 DECRYPT_INFORMATION.html敲詐信息文件直接運行起來。最後删除病毒自己。

勒索病毒已經變種(愛馬仕勒索病毒)25

運行敲詐信息并删除自身

勒索病毒已經變種(愛馬仕勒索病毒)26

敲詐提示信息

敲詐信息中向中招者索要0.8個比特币,按發稿時彙率換算,相當于人民币32000元。這麼貴的解密費用,也配得上“敲詐界奢侈品”的稱号。

勒索病毒已經變種(愛馬仕勒索病毒)27

與黑客郵件回話内容

總結:

在線服務器一直以來都是各路黑客最常見的攻擊目标,而勒索病毒為這類攻擊提供了一個新的變現渠道,一般而言服務器上的數據相較普通PC更具價值,被勒索後支付意願更高,讓此類攻擊也更加泛濫。對于大量的中小型企業,服務器的防護往往是一個被疏忽的部分,這裡必須要警惕這一點。尤其在開啟遠程桌面服務時,要注意一下幾點:

1.盡可能避免使用默認的用戶名,使用複雜口令(不要使用有規律可尋的口令)。

2.對多用戶賬戶的服務器,設置嚴格的管理策略,并強制登錄口令設置的複雜度。同時,管理員要嚴格控制每個賬戶的權限。

3.多台計算機組成局域網時,不要使用相同的用戶名和口令。

4.口令需要做到定期更換。

5.最後安裝一款靠譜的安全軟件,可以幫助輕松解決絕大部分安全問題!

*本文作者:360安全

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关健康资讯推荐

热门健康资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved