快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

“爱马仕”诓骗者:诓骗者中的奢侈品

媒介

近期,360安全中心发现一款名为”爱马仕”的勒索病毒又最先在国内传播,该勒索病毒此次的首要攻击目标是windows服务器。目前流行的服务器勒索病毒中,有超过九成是通过遥程桌面进行传播的。该勒索病毒更让人头痛的一点是,它除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。在这里再次提醒人人,开启服务器遥程桌面时需要谨慎处理,万不可在使用弱口令的机器上开启,不要有侥幸心理。

 Clipboard Image.png

图1.诓骗提示信息

样本阐发

初始化工作

磁盘容量不足不加密

起首,勒索病毒会检测中招者磁盘的剩余量,要是获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会休止工作。

Clipboard Image.png

图2.获取磁盘剩余量容量

若磁盘空间足量,则会通过动态获取的要领加载后续操作所需要的函数,以此来藏避杀毒软件的静态查杀。下图仅列出一部分

Clipboard Image.png

图3.动态获取函数

俄语体系不加密

同许多泛俄语系勒索病毒同样——病毒会通过查询SYSTEM\CurrentControlSet\Control\Nls\Language注册表键值来检测当前操作体系的说话,若发现体系说话是俄语、乌克兰语或白罗斯语则不会继续加密。曾经名噪一时的Locky家族勒索病毒的代码中,也有类似的判定逻辑,我们有理由信赖这是一种病毒作者对泛俄语区域用户的维护。

Clipboard Image.png

图4.判定体系说话

该勒索病毒同时还会对体系版本是XP、Server2000、Server2003以及Server2003 R2的中招机器进行额外的内存处理。

Clipboard Image.png

图5.获取体系版本

由于在以上这些体系中,生成的密钥对以及密钥容器都会被存储在内存中。所以勒索病毒会额外清空一下内存中的密钥容器内容以及密钥对,避免在内存中找到密钥对从而恢复被加密的文件。

Clipboard Image.png

图6.清空内存中存储的密钥

文件加密部分

该勒索病毒会在内陆生成两个文件

1.PUBLIC:病毒在内陆生成的RSA密钥对中的公钥部分

2. UNIQUE_ID_DO_NOT_REMOVE:包含两部分。

a) 用病毒在内陆生成的AES密钥加密在内陆生成的RSA密钥对中的私钥的密文

b) 用在病毒中硬编码的RSA公钥加密内陆生成的AES密钥的密文

下图是第一部分所说的,病毒在内陆进行的RSA密钥对生成动作和将密钥对中的RSA公钥写入到PUBLIC文件中

Clipboard Image.png

图7.RSA公钥写入PUBLIC文件

接下来是UNIQUE_ID_DO_NOT_REMOVE文件的生成。其第一部分是用256位的AES密钥去加密2048位的RSA的私钥。而第二部分是用病毒中硬编码的RSA的公钥去加密AES密钥。

Clipboard Image.png

图8.生成UNIQUE_ID_DO_NOT_REMOVE文件

实现后,病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来,在稍落后行的文件加密操作中,用于对加密密钥的再加密工作。

Clipboard Image.png

图9.从PUBLIC文件导入RSA公钥

病毒会创建一个批处理脚本(bat)来启动%TEMP%目录下的勒索病毒主体。然则在后续操作中,并未将该病毒开释到%TEMP%目录里,并没有发现该脚本的存在有任何意义,这令阐发人员很是不解。

Clipboard Image.png

图10.生成start.bat

勒索病毒读取并解密自身资源,开释勒索信息。

Clipboard Image.png

图11.解密勒索信息

从自身资源中获取勒索邮箱地址。邮箱地址有两个:一个是dechhelp#airmail.cc,另一个是dechsupp#cock.lio。其中后者为备用邮箱。

Clipboard Image.png

图12.解密出勒索作者邮箱

病毒遍历文件的过程中,还会判定当前盘符挂载的是不是只读光盘,如果,则不在对该磁盘进行加密操作。

Clipboard Image.png

图13.判定磁盘属性

★体系目录不加密

在遍历目录的时辰,要是遇到目录包含Windows、AhnLab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS等字符串中的任意一个,病毒便会跳过对该目录的加密。

Clipboard Image.png

图14.加密时跳过指定目录

接下来,病毒会先判定正在扫描的目标是文件照样目录:如果一个目录就生成诓骗信,黑客工具,并进入该目录继续做递回扫描工作。若不是目录,再判定该文件是不是生成的诓骗信息或生成的唯一ID,均不是则继续检查文件的扩台甫,若不是dll、exe、ini、lnk、hrmlog中的一个才会进行加密工作。

Clipboard Image.png

图15.不加密指定的文件后缀

最先加密,病毒会读取该文件内容到内存中,再对内容进行检测——看文件内容中是否被写入了HERMES标记,该诓骗者的名字“爱马仕”就是取之于该标记。若找到标记则再也不加密文件,仅将扩台甫改成.HRM即可。

Clipboard Image.png

图16.查找HERMES标识

若未找到HERMES标记,就最先加密文件。加密最先前,病毒会先生成一个256位的AES密钥。

Clipboard Image.png

图17.生成加密文件的AES密钥

AES密钥每天生功,则最先加密文件。

Clipboard Image.png

图18.加密文件

加密实现后,写入文件标识“HERMES”

Clipboard Image.png

图19.写入文件标识

最后,病毒将AES密钥用PUBLIC中的RSA公钥加密,再将加密后的AES密钥写入到文件尾部。

Clipboard Image.png

图20.用RSA公钥加密加密文件的AES密钥

病毒对内陆文件的加密工作整个实现后,还会尝试枚举收集资源(如同享文件)去加密。整个实现后,还会再次清空内存中的会话密钥,确保不会出现因密钥残留于内存中而被用于恢复文件的情形。

Clipboard Image.png

图21.加密同享文件夹中的文件

下图为文件被加密后的模样。

Clipboard Image.png

图22.被加密后的文件

加密相干文件情形以下图。要是想要解密文件,就需要将UNIQUE_ID_DO_NOT_REMOVE交给作者,让其用本人手里的RSA私钥解密出AES-256-1密钥。然后用AES-256-1去解密出RSA-2048私钥。再用RSA-2048私钥去解密出每一个文件中的AES-256-2密钥。最后,用AES-256-2密钥解密文件内容。

Clipboard Image.png

图23.密钥分部情形

 

后续处理

所有加密工作实现后,病毒还会进行一些其他的善后工作。起首是删除卷影副卷,和删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat和文件名包含backup字符串类型的文件——因为这些文件都多是备份文件。

Clipboard Image.png

图24.删除备份文件

以后,并对会再次检测桌面目录中是否有生成诓骗信息,要是没有就生成一份诓骗信息。确认诓骗信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html诓骗信息文件直接运行起来。最后删除病毒本人。

Clipboard Image.png

图25.运行诓骗信息并删除自身

Clipboard Image.png

图26.诓骗提示信息

诓骗信息中向中招者索要0.8个比特币,按发稿时汇率换算,至关于人民币32000元。这么贵的解密费用,也配得上“诓骗界奢侈品”的称号。

Clipboard Image.png

图27.与黑客邮件归话内容

总结:

在线服务器始终以来都是各路黑客至多见的攻击目标,而勒索病毒为这种攻击提供了一个新的变现渠道,一般而言服务器上的数据相较普通PC更具价值,被勒索后支付意愿更高,让此类攻击也愈加泛滥。对于大批的中小型企业,服务器的防护往往是一个被疏忽的部分,这里必须要警惕这一点。尤为在开启遥程桌面服务时,要注意一下几点:

1.    绝可能避免使用默认的用户名,使用复杂口令(不要使用有规律可寻的口令)。

2.    对多用户账户的服务器,配置严格的治理策略,并强制登录口令配置的复杂度。同时,治理员要严格控制每一个账户的权限。

3.    多台计算机组成局域网时,不要使用相同的用户名以及口令。

4.    口令需要做到定期更换。

5.    最后装置一款靠谱的安全软件,可以帮助轻松解决尽大部分安全问题!360安全卫士推出的“遥程登录维护”功能,就能从目生IP登录以及多次登录口令错误两大方面,有用防御勒索病毒遥程登录控征服务器。

 *

您可能还会对下面的文章感兴趣: