歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Locked勒索病毒出山,大肆攻擊國內企業

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿

近日,360安全大腦監測到一個使用Go語言編寫的勒索病毒正在攻擊國內企業。該勒索病毒會通過“永恒之藍”漏洞傳播自身,同時加密計算機中的重要文件,將文件后綴修改為“.locked”,之后向受害用戶索要贖金0.2BTC,我們根據其加密后綴將其稱為“locked”勒索病毒。
0×1 傳播分析
黑客通過“永恒之藍”漏洞入侵企業中的一臺計算機,并利用這臺計算機作為跳板入侵企業內網中的其他計算機,具體傳播流程如下圖所示:

黑客成功入侵第一臺計算機后從hxxp://193.56.28.231/wintime.rar下載勒索病毒加載器。勒索病毒加載器會釋放兩個模塊。一個是“locked”勒索病毒,另一個則是“永恒之藍”傳播模塊。“永恒之藍”傳播模塊會將當前計算機作為FTP服務器,入侵內網其他計算機后通過FTP下載“locked”勒索病毒運行。“永恒之藍”傳播模塊是由python語言編寫并打包成exe的,關鍵代碼如下圖所示。

串行加密,locked勒索病毒原來是個單線程“生物”
0×2 勒索病毒分析
“locked”勒索病毒是由GO語言編寫而成,其中重要的函數及其功能如下表所示:

在加密文件之前,“locked”勒索病毒會結束系統中運行的數據庫相關的進程以確保勒索病毒能成功修改文件內容。

“locked”勒索病毒為每臺計算機生成一對RSA密鑰對。這對密鑰對中的私鑰會通過硬編碼在勒索病毒程序文件中的一個RSA公鑰進行加密并格式化后作為PersonID成的RSA密鑰對中的公鑰則用來加密為每個待加密文件生成的AES密鑰,加密后的內容將直接存儲在被加密的文件中,而這個AES密鑰才是最終加密文件的密鑰。密鑰生成與使用流程如下圖所示。

黑客接收到贖金后進行解密時,需要受害者提供勒索信息中的PersonID,并用手里的RSA私鑰(這個私鑰與硬編碼在勒索病毒程序文件中的RSA公鑰成對)從PersonID中解出對應于受害者計算機的RSA私鑰(這個私鑰就是main_Generate函數生成的)。之后用該私鑰從被加密文件中解出每個文件加密時使用的AES密鑰,之后解密文件。
文件加密函數main_encrypt以串行的形式存在,Locked勒索病毒在加密一個文件后才會加密另一個文件。相比較一些使用多線程加密文件的勒索病毒,Locked勒索病毒的加密效率較低,需要花較長的時間加密機器中的文件。關鍵加密流程如下圖所示。

在加密文件類型的選擇上,“locked”勒索病毒會加密包括辦公文檔、音視頻、數據庫文件在內的超過三百種文件類型。加密完成后,Locked勒索病毒會展示如下圖所示的勒索信息,勒索金額為0.2BTC,勒索信息中的PersonID就是繳納贖金時使用的憑證,黑客需要通過PersonID解密文件,除了勒索信息外,Locked勒索病毒還將PersonID保存在%USERPROFILE%目錄下文件名為windows的文件中,以防止受害者誤刪勒索信息導致無法解密。

值得一提的是,“locked”勒索病毒會在運行過程中展示文件加密情況,筆者推測這可能只是“locked”勒索病毒的一個調試版本。

完成文件加密工作后,“locked”勒索病毒會向黑客服務器發送消息,服務器ip地址為193.56.28.231。目前該服務器已無法連接。

0×3 關聯分析
通過與開源情報進行關聯,我們發現此次傳播的“locked”勒索病毒為今年3月在國外傳播的“Tellyouthepass”勒索病毒變種。“Tellyouthepass”勒索病毒與此次傳播的Locked勒索病毒擁有幾乎完全相同的勒索信息,并且在函數命名上也幾乎完全相同。下圖是“Tellyouthepass”勒索病毒的函數名稱,與上文表格中“locked”勒索病毒的函數名稱基本一致。

兩者唯二的區別在于BTC錢包地址以及聯系郵箱地址,“Tellyouthepass”勒索病毒為1CLWBxbBKddQTUuhsUsn8izq2crUAgGYZ1和[email protected](Tellyouthepass”勒索病毒由此得名),而本次傳播的l“locked”勒索病毒為1qopxAR7BuxnhK7UVFqcJtS2zGWZGWsC2和[email protected]。此外,“id-ransomware”還提供了另一組BTC錢包和聯系郵箱地址,為1Db8Ho7YjSipgzjNcK4bdSGeg12JrnKSSc和[email protected]

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 山西扣点点群主怎么赚钱 代理赚钱软件 赚钱去北京还是上海 000009股票行情和讯网 全球股票指数一览 大学开学怎么赚钱6 男孩跳钢管舞赚钱吗 七座suv怎么赚钱 2000字万科股票分析 成龙秒拍赚钱 赚钱和做人的关系 怎么用时时彩漏洞赚钱 海南农村人种什么赚钱 迎春花市赚钱吗 广告ae能赚钱吗 黑色沙漠赚钱职业