新闻链接：http://www.myhack58.com/Article/64/2016/72155.htm
新闻时间：2016-03-03
新闻正文：勒索软件 “Locky”深度分析
2月19日，德国媒体报道，一款家族名为”Locky”的勒索者恶意软件每小时感染德国5300台计算机，Locky由此进入人们视野。目前，Locky已经蔓延到包括德国、荷兰、美国在内的十几个国家，国内知名论坛上也陆续开始出现关于Locky的讨论，不少人在寻求文件被修改“.lock”的加密文件后的解决方案，可见部分国内网民已经中招，而某宝上也有公开出售Locky的解密密钥。几乎同时，金山安全接到多个企业报警显示Locky已在其内网蔓延，并影响到生产环节，事态进一步升级。
金山安全反病毒实验室采集到Locky样本，分析发现勒索提示可以显示中文，可见此次勒索事件与以往“国外中招，中国躺枪”不同，犯罪集团的矛头开始指向中国用户。
Locky攻击流程
黑客向受害者邮箱发送带有恶意word文档的Email，word文档中包含有黑客精心构造的恶意宏代码，受害者打开word文档并运行宏代码后，主机会主动连接指定的web服务器，下载locky恶意软件到本地Temp目录下，并强制执行。locky恶意代码被加载执行后，主动连接黑客C&C服务器，执行上传本机信息，下载加密公钥。locky遍历本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成“.locky”的文件。加密完成后生成勒索提示文件。
恶意代码执行的关键一步是宏代码的手动启用。多数Office软件默认不运行宏代码，在遇到带宏代码的文档时，需要用户手动启用。同时，Office 2010遇到带不可信宏代码文件会弹出提示信息，因此只有用户单击“启用宏”，恶意代码才能得到执行。
恶意宏代码分析
实验室从受害者主机中筛选出invoice_J-61387625.doc、NewDoc 115.docm两个典型样本。
*.doc文件使用Word 2003打开即可运行宏代码。而主机安装Office 2007及以上版本的Office软件时，宏代码是否能运行对后缀名有严格的要求，后缀名分为.docx、docm、dotx、dotm四种，打开*.docx文件或兼容低版本的*.doc文件时默认禁止宏代码运行，故恶意代码作者需要再次构造*.docm文件，保证Office 2007以上版本也能执行恶意代码。
在invoice_J-61387625.doc中包含两个模块Module1和Module2，New Doc115.docm包含Module1一个模块。但对比两个文件中的函数发现，存在同名函数AddSensors()、CheckBins()、SaveMaps()。
进一步对比发现，同名函数内除了变量名不同，可执行代码均相同。CheckBins()与getTypeBodyCell()、CheckMaps()与MimoNasM()、存在相似代码，ConnectMaps()与OnasOn()基本相同。
由此可以确定两个样本的恶意代码同源，可以猜测作者为了达到兼容Office2007以上版本，找来一串.docm文件的合法宏代码，将原始代码粘贴插入到函数中，并修改入口函数，达到执行恶意代码的目的。有意思的是，从函数名与函数内容中看出，恶意代码作者找到的是一串贪吃蛇游戏的代码。
宏代码关键函数分析如下：
恶意代码作者把字符串常量保存在UserForm1.Label1.Caption中，使用“/”符号分隔，初始化变量时将其取出放到DrinkSun变量中 。    UserForm1.Label1.Caption内容如下：Microsoft.XMLHTTP/Adodb.Stream/Shell.Application/WScript.Shell/Process/GET/TEMP/Type/Open/write/responseBody/savetofile/\ladybi.txt
KogdaGe_7变量中保存的数组是经过混淆的访问locky的url，红色部分为将数组解密成url的代码。
解密完成后的url为：
www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe
函数尝试对外连接成功后，服务器返回locky文件的二进制流数据，代码将其保存到临时文件夹路径下，注：DrinkSun字符串数组，即UserForm1.Label1.Caption以“/”分隔的字符串，因此DrinkSun(6)为“TEMP”DrinkSun(12)为“\ladybi.txt”，字符串中没有“t”，文件名即为“ladybi.txt”。
最后一步，把黑客服务器返回的locky文件数据流写到“ladybi.txt”中，并执行。
虽然连接下载恶意代码服务器的url是写死在程序中的，但不同样本访问的域名却不相同，犯罪集团拥有大量可控的服务器。采集到部分样本url如下：
www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe
feestineendoos.nl/system/logs/7623dh3f.exe
jsteksys.com/4/4_b9ffd5c5.exe
Locky主体svchost.exe恶意软件分析
宏代码下载的文件是一个Microsoft Visual C++编译的exe文件，文件名由宏代码决定，执行后其自动更名为svchost.exe，故将locky主体样本命名为svchost.exe。
总结
通过对Locky样本的深入分析和对攻击事件的还原，我们知道勒索者恶意软件Locky的攻击手法并不新奇，一般是通过邮件形式传播，需要被攻击用户主动打开附件内容并点击允许宏代码执行。可见传统的攻击手段并没有失效，office宏病毒的破坏力依然存在。
截至目前，样本Word文件宏代码访问的服务器、locky主体交互的C&C服务器均已关闭，一些域名已经无效，故当前截获的Word样本无法连接服务器下载locky恶意软件，已存在的locky恶意软件也因无法从C&C服务器获取公钥，从而无法加密本地文件。但此次事件的威胁依然存在，存在的大量样本变种表明，勒索者事件是有组织的犯罪团伙所为，恶意代码作者只需修改代码中连接服务器的域名信息或者IP地址，便可以大批量再生产有效攻击样本，罪犯们需要做的仅仅是购置非法域名和服务器。
值得注意的是，前几年的勒索事件因国人少有使用比特币的习惯，基本没有用户为此买单，勒索者矛头并没有指向中国内地，中招者纯属“躺枪”。然而，此例样本可以弹出中文勒索提示，表明勒索事件开始蔓延到国内。
2016年勒索类恶意软件将愈演愈烈，加密后的文件很难被找回已为业界公认。对付勒索类恶意软件依然是以预防为主：定期备份重要文件，当心陌生邮件及附件，在打开带宏代码的Office文件时应特别注意，确认可信后再启用宏运行。

[培训]科锐软件逆向50期预科班报名即将截止，速来！！！ 50期正式班报名火爆招生中！！！