奇葩勒索软件ONI：是勒索软件还是清除工具？

如今，越来越多勒索软件事件出现在人们生活中。勒索软件究竟是个清除工具还是真正的勒索工具，其中的分界线越来越模糊。最新的一个勒索软件攻击事件就是这样。这款软件称为ONI，几个月来一直在攻击一家日本公司。

一家安全公司在检查电脑时，发现其被ONI感染。这款勒索软件曾被发现过，但是当时不知道受害者是如何感染的。据Cybereason的研究人员调查，他们发现被感染的电脑先前曾被鱼叉式网络钓鱼（spear phishing）运动攻击，并在受害者的电脑上下载了一个RAT或者远程木马。

鱼叉式网络钓鱼（spear phishing）是面向特定组织的欺诈行为，目的是不通过授权访问机密数据。和用于常规钓鱼（phishing）活动的电邮信息一样，鱼叉式网络钓鱼信息看上去来源可靠。钓鱼信息通常看上去是来自朋广泛群众基础的大型知名公司或网站，比如易趣或贝宝（PayPal）。但是在鱼叉式网络钓鱼事件中，电子邮件的显示来源可能是接收人公司内部的个人，且通常是地位比较高的人。

这些假邮件会伪装成收据，内附有一个zip包，zip文件里有一个恶意word文档。当用户打开这个文档，并执行宏指令时，VBSscript脚本就会开始运行，在受害电脑中下载一个Ammyy Admin RAT的副本。

VBScript是Visual Basic Script的简称，即 Visual Basic 脚本语言，有时也被缩写为VBS。它是一种微软环境下的轻量级的解释型语言，它使用COM组件、WMI、WSH、ADSI访问系统中的元素，对系统进行管理。同时它又是asp动态网页默认的编程语言，配合asp内建对象和ADO对象，用户很快就能掌握访问数据库的asp动态网页开发技术。

虽然Ammyy Admin是一个合法的远程管理工具，但这个时候，它却被攻击者用来完全获取系统的权限。Cybereason发现RAT下载时间最远可以追溯到2016年9月份，最近的时候是2017年7月。

所有受害电脑都是中大型企业。目前，政府尚未收到受到攻击的报告。

掩盖行踪

攻击者一旦获取了网络权限，会进一步获取管理员的账户和服务器。不幸的是，目前，暂时不清楚攻击者在他们获取权限的３到６个月之间究竟做了什么。

cybereason认为敏感数据已经在攻击过程中流失了。

攻击停止后，ONI勒索软件开始登场。因为攻击者已经侵入管理员的账号，他们会利用Group Policy Scripts执行一个批处理文件，清除超过460个日志来掩盖他们的活动。

同样的脚本也会应用于ONI勒索软件，来锁定文件和尽可能的混淆攻击者的行踪。

ONI勒索软件：是勒索软件还是清除工具？

这个攻击有意思的地方就是攻击者使用了两种不同版本的ONI勒索软件。一种版本，是GlobeImposter的变体，通常用来加密用户模式。这次被是用来锁定不太重要的电脑。

下载完成后，ONI勒索软件会加密电脑中的文件，并在文件名中加上“.oni”的扩展名。

这一切执行完以后，受害者会在被锁的文件夹中看到一个留言，名为！！！README!!!.html。勒索留言中含有被锁软件的基本信息，和了解交付赎金的联系方式。

这些都是GlobeImposter勒索软件变体的标准步骤。

事情变得越来越有意思了。Cybereason发现攻击者在一些特定电脑上还使用了另一款勒索软件。这款勒索软件称为MBR-ONI，因为它加密的真实的文件系统，然后又把MBR、Master Boot Record替换称一个有密码的屏保，会在windows启动时显示。

攻击者通过使用合法的DiskCryptor（硬件加密程序）来加密文件系统并通过设置密码使之可以再次访问。这个程序在最近的Bad Rabbit勒索软件的攻击中也有用到。

DiskCryptor，是一个开源的磁盘加密软件。它可以加密整个硬盘，包括系统分区、闪存驱动器实时加密不会影响性能。同样也可以创建加密的CD/DVD(主要通过磁盘镜像.ISO文件)。

MBR-ONI只用在活跃的目录服务器或者关键设备中。

NotPetya 攻击不允许加密文件系统，而ONI和MBR-ONI是合法软件感染，用户得到秘钥后即可解密。但目前没有受害者支付赎金，甚至联系攻击者。

NotPetya是源自类似Petya的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码。
2017年6月27日晚间11点左右，欧洲再度爆发大规模网络安全事件，包括全球最大的广告公司WPP在内的欧洲企业以及乌克兰基辅机场的网络系统受到NotPetya网络攻击，陷入瘫痪，相关用户被要求支付300美元的加密式数字货币以解锁电脑。

问题在于攻击者是否使用ONI获取了不义之财。

##IOCs
Hashes：

SHA256: 9bba34947b9b2f9d52aeb45b342637ce93d6683bbf8e352da53dae053da37ae6 (GlobeImposter Variant)

ONI相关的文件：

!!!README!!!.html

ONI Ransom留言 (中文版本):

重要信息！

所有的文件都已经用RSA-2048和RSA-256加密了。
不用担心，你可以恢复所有的文件。
我们保证所有的文件都能又快又安全的恢复过来。
如果想要恢复文件的方法，就联系我们吧！
为了证明可靠度，你可以免费解密两个文件。告诉我们你的文件和个人ID。（文件小于10MB，且没有机密信息）

联系信息：
hyakunoonigayoru@yahoo.co.jp

原文链接：https://www.bleepingcomputer.com/news/security/oni-ransomware-used-in-month-long-attacks-against-japanese-companies/
本文由看雪翻译小组哆啦咪编译
转载请注明来自看雪论坛

[课程]Linux pwn 探索篇！