近日,360安全大腦監測到一個使用Go語言編寫的勒索病毒正在攻擊國內企業。該勒索病毒會通過“永恆之藍”漏洞傳播自身,同時加密計算機中的重要文件,將文件後綴修改為“.locked”,之後向受害用戶索要贖金0.2BTC,我們根據其加密後綴將其稱為“locked”勒索病毒。
不過廣大用戶不必擔心,360安全大腦可精準攔截該病毒攻擊,建議廣大用戶前往https://www.360.cn/下載安裝360安全衛士,保護個人隱私及電腦安全。
連環感染
locked搭載“永恆之藍”高效傳播
黑客通過“永恆之藍”漏洞入侵企業中的一臺計算機,並利用這臺計算機作為跳板入侵企業內網中的其他計算機,具體傳播流程如下圖所示:
黑客成功入侵第一臺計算機後從hxxp://193.56.28.231/wintime.rar下載勒索病毒加載器。勒索病毒加載器會釋放兩個模塊。一個是“locked”勒索病毒,另一個則是“永恆之藍”傳播模塊。“永恆之藍”傳播模塊會將當前計算機作為FTP服務器,入侵內網其他計算機後通過FTP下載“locked”勒索病毒運行。“永恆之藍”傳播模塊是由python語言編寫並打包成exe的,關鍵代碼如下圖所示。
串行加密
locked勒索病毒原來是個單線程“生物”
“locked”勒索病毒是由GO語言編寫而成,其中重要的函數及其功能如下表所示:
在加密文件之前,“locked”勒索病毒會結束系統中運行的數據庫相關的進程以確保勒索病毒能成功修改文件內容。
“locked”勒索病毒為每臺計算機生成一對RSA密鑰對。這對密鑰對中的私鑰會通過硬編碼在勒索病毒程序文件中的一個RSA公鑰進行加密並格式化後作為PersonID,RSA密鑰對中的公鑰則用來加密為每個待加密文件生成的AES密鑰,加密後的內容將直接存儲在被加密的文件中,而這個AES密鑰才是最終加密文件的密鑰。密鑰生成與使用流程如下圖所示。
黑客接收到贖金後進行解密時,需要受害者提供勒索信息中的PersonID,並用手裡的RSA私鑰(這個私鑰與硬編碼在勒索病毒程序文件中的RSA公鑰成對)從PersonID中解出對應於受害者計算機的RSA私鑰(這個私鑰就是main_Generate函數生成的)。之後用該私鑰從被加密文件中解出每個文件加密時使用的AES密鑰,之後解密文件。
文件加密函數main_encrypt以串行的形式存在,locked勒索病毒在加密一個文件後才會加密另一個文件。相比較一些使用多線程加密文件的勒索病毒,locked勒索病毒的加密效率較低,需要花較長的時間加密機器中的文件。關鍵加密流程如下圖所示。
在加密文件類型的選擇上,“locked”勒索病毒會加密包括辦公文檔、音視頻、數據庫文件在內的超過三百種文件類型。加密完成後,locked勒索病毒會展示如下圖所示的勒索信息,勒索金額為0.2BTC,勒索信息中的PersonID就是繳納贖金時使用的憑證,黑客需要通過PersonID解密文件,除了勒索信息外,locked勒索病毒還將PersonID保存在%USERPROFILE%目錄下文件名為windows的文件中,以防止受害者誤刪勒索信息導致無法解密。
值得一提的是,“locked”勒索病毒會在運行過程中展示文件加密情況,筆者推測這可能只是“locked”勒索病毒的一個調試版本。
完成文件加密工作後,“locked”勒索病毒會向黑客服務器發送消息,服務器ip地址為193.56.28.231。目前該服務器已無法連接。
師承“名門”
locked竟為Tellyouthepass勒索病毒新變種
通過與開源情報進行關聯,我們發現此次傳播的“locked”勒索病毒為今年3月在國外傳播的“Tellyouthepass”勒索病毒變種。“Tellyouthepass”勒索病毒與此次傳播的locked勒索病毒擁有幾乎完全相同的勒索信息,並且在函數命名上也幾乎完全相同。下圖是“Tellyouthepass”勒索病毒的函數名稱,與上文表格中“locked”勒索病毒的函數名稱基本一致。
兩者唯二的區別在於BTC錢包地址以及聯繫郵箱地址,“Tellyouthepass”勒索病毒為1CLWBxbBKddQTUuhsUsn8izq2crUAgGYZ1和[email protected](Tellyouthepass”勒索病毒由此得名),而本次傳播的“locked”勒索病毒為1qopxAR7BuxnhK7UVFqcJtS2zGWZGWsC2和[email protected]。此外,“id-ransomware”還提供了另一組BTC錢包和聯繫郵箱地址,為1Db8Ho7YjSipgzjNcK4bdSGeg12JrnKSSc和[email protected]。
360安全大腦溯源發現,“Tellyouthepass”勒索病毒在今年3月底曾經攻擊過位於烏克蘭的一家企業,攻擊者通過“永恆之藍”漏洞攻擊武器入侵企業計算機之後,嘗試通過PowerShell、certutil、bitsadmin等合法程序下載“Tellyouthepass”勒索病毒,下載ip地址為193.56.28.203與本次傳播的locked勒索病毒所連接的服務器ip地址193.56.28.231在一個網段下。攻擊者入侵成功後執行的命令如下圖所示。
除了使用“永恆之藍”漏洞攻擊企業服務器外,攻擊者在今年四月份還通過Tomcat弱口令爆破入侵一臺國內服務器,入侵後使用微軟合法程序regsvr32執行hxxp://193.56.28.203/down.sct,最終下載並執行植入“Tellyouthepass”勒索病毒。
通過以上關聯信息可以推斷此次傳播的locked勒索病毒為“Tellyouthepass”勒索病毒變種,勒索病毒背後的攻擊團伙存在以下特徵:
1.善於使用多種手段入侵服務器,沒有特定的攻擊目標,可能通過全網掃描尋找獵物;
2.偏愛無文件攻擊手法;
3.黑客服務器位於193.56.28.0/24網段下。
針對該病毒的攻擊感染態勢,360安全大腦已實現對該病毒的攔截查殺,為防止該病毒進一步感染蔓延,360安全大腦建議廣大用戶做好以下保護措施,防患於未然:
1.下載安裝360安全衛士,攔截各類病毒木馬攻擊,保護個人隱私及財產安全;
2.多臺機器不要使用相同的賬號和口令,口令要有足夠的長度和複雜性,並定期更換;
3.重要資料共享文件夾應設置訪問權限控制,並定期備份;
4.定期檢測系統和軟件中的安全漏洞,及時打上補丁;
5.定期到服務器檢查是否存在異常。查看範圍包括:
a) 是否有新增賬戶
b) Guest是否被啟用
c) Windows系統日誌是否存在異常
d) 殺毒軟件是否存在異常攔截情況
0x5 IOCs
5423d7935aa3cb0328eb6ce89fb052ca
9123fd863a203a6507665c8e89b5d75a
6bb97ae11af3200d69764ea6804e9f71
d4ec36d096ba761a1b2ee237d9a9865d
193.56.28.231
193.56.28.203
相關推薦
