0x1 概述
近日,腾讯御见威胁情报中心监控到一款勒索病毒,该勒索病毒主要通过垃圾邮件传播,从代码完整度来看,似乎还处于初期发展阶段。令人惊讶的是,该勒索病毒还携带了正规白签名证书,签名信息为LA CREM LTD。
签名滥用、盗用、冒用等情况在以往发现的案例中多为流氓软件或木马程序,勒索病毒使用白签名的情况还实属罕见。勒索病毒一旦拥有了合法证书,极易被安全软件放行,严重影响网络安全,会给企业带来不可逆的严重损失。
详细分析发现,PyLocky勒索病毒具有以下特性:
1.病毒母体伪装成docx文件图标,实际为EXE执行文件,通过电子邮件附件传播;
2.该勒索病毒为python语言编写,有正规的数字签名,签名人名称为LA CREM LTD;具有正规数字签名的文件极易被安全软件放行;
3.被加密的文件扩展后缀为.lockedfile,分析该病毒的加密原理,没有私钥无法解密;
4.根据勒索信息,受害者若想解密受损文件,必须使用tor浏览器访问境外网站(暗网)购买解密工具。
0x2 样本分析
勒索病毒母体伪装了一个docx的文件图标,使得更容易在受害者收到恶意邮件场景下被信任打开。分析后可知该病毒母体为使用inno setup 5.5.7打包的一个安装包程序。
样本图标伪装doc文档,查看文件信息为白签名程序
使用inno setup 5.5.7进行打包的安装包程序
对inno setup安装包解包后可得到一系列的病毒运行依赖库文件和一个名为lockyfud.exe的勒索病毒主PE文件。分析该PE文件为python编写使用第三方工具打包而成。解包后对lockyfud核心文件分析可见勒索病毒主要代码。
inno setup解包后文件目录,核心文件为lockyfud.exe
lockyfud.exe使用Python编写打包
lockyfud.exe解包后可拿到文件lockyfud文件
lockyfud反编译可拿到py脚本文件
拿到以上脚本后其中的恶意代码还进行了一定程度的加密隐藏。恶意代码通过使用BASE64解码后再使用AES解密,最后动态编译执行。处理加密的Python字节码后可进一步得到清晰的勒索病毒加密流程脚本。
勒索病毒首先获取机器信息和随机生成文件加密密钥,Password为随机生成的DES算法密钥,用于后期加密文件使用。
DES文件加密密钥同机器信息一同被使用RSA算法加密并使用BASE64编码保存作为用户解密ID信息保存到Msg
RSA公钥如上图,私钥在作者手中
然后获取磁盘驱动器信息
对每个盘符下文件创建线程进行加密
加密后缀类型如图所示包含了常见的文档类,音频类,视屏类,数据类文件,碰到已加密文件类型lockedfile或病毒说明文件则不进行加密
加密流程为先读取原始文件数据,使用BASE64编码后再使用DES算法进行加密写文件,添加lockedfile后缀。
原始文件并不做删除,而是将msg提示信息(包含用户解密ID信息)直接覆盖写入原文件。最后创建一个包含msg提示信息(包含用户解密ID信息)文件,扩展后缀为.lockymap。
文件被加密
在每个加密文件目录下创建勒索提示文件,分别使用英语,法语,意大利语,韩语来提示勒索信息,要求受害者使用tor浏览器访问暗网,进一步购买解密工具。
0x3安全建议
针对个人用户:
1. 不要点击来源不明的邮件附件,当一个文件用docx(Word文档)作图标,却是EXE可执行文件时,显然属于恶意程序伪装,一定不要打开。
2. 不使用外挂、破解补丁等容易传播病毒的软件。
3. 保持腾讯电脑管家等安全软件的运行状态,及时修复系统漏洞,实时拦截病毒风险。
4. 推荐使用“文档守护者”对重要文件和数据(数据库等数据)进行定期备份。打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。
针对企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
8、 推荐企业用户使用御界高级威胁检测系统检测未知威胁,通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。(详情链接:https://s.tencent.com/product/gjwxjc/index.html)
0x4勒索自救
如有用户文档不幸被勒索病毒加密,可使用腾讯电脑管家勒索病毒搜索引擎寻找已知的自救流程,电脑管家搜索引擎覆盖收集国内外超过280余种勒索病毒家族的相关信息,可解密超过百余种勒索病毒。受害者被加密的文件,部分可以尝试解密。
网址:https://guanjia.qq.com/pr/ls/
0x5 IOC
Md5
d3d28b9665bdbc7a297e977134b90810
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)