首例具有中文提示的比特币勒索软件“LOCKY”

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

一、安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。

2 样本分析

2.1 样本标签

首例具有中文提示的比特币勒索软件“LOCKY”

1.1样本功能

该勒索软件“Locky”使用绑架用户数据的方法对用户进行敲诈勒索。它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。

“Locky”样本的本地行为:复制自身到系统临时目录%Temp%下,并重新命名为svchost;对系统中的文件进行遍历,判断文件后缀名是否在样本内置的列表中,若存在,则对样本进行加密操作;在多个文件夹中创建提示文件_Locky_recover_instructions.txt;在桌面上创建文件_Locky_recover_instructions.bmp;并将该文件设置为桌面背景,提示用户如何操作可以成功恢复被加密的文件;添加相关注册表键值;删除系统还原快照。

  • 复制自身到%Temp%目录下名为svchost.exe,并添加启动项。
  • 加密上百种文件类型如下:

.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

  • 对路径和文件名中包含下列字符串的文件不进行加密:

tmp, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

  • “Locky”添加的注册表项

HKCUSoftwareLocky

HKCUSoftwareLockyid

HKCUSoftwareLockypubkey

HKCUSoftwareLockypaytext

HKCUSoftwareLockycompleted

HKCUControl PanelDesktopWallpaper "%UserProfile%Desktop_Locky_recover_instructions.bmp"

  • 删除系统还原快照

通过调用vssadmin.exe Delete Shadows /All /Quiet 删除全盘所有卷影副本,使受害系统不能够通过卷影副本进行系统还原。

  • 网络行为:

l 向C&C服务器发送被感染机器的部分信息。

l 从C&C服务器下载RSA公钥,为后面的加密做准备。

l 上传将被加密的文件列表。

l 根据系统语言从服务器获取对应的提示信息。

1.2 相关技术

1.2.1 域名生成算法

“Locky”样本会首先使用函数rdtsc获取处理器时间,将该值与某变量进行求余运算,通过对该值的判断来决定样本是访问使用算法生成的域名,还是直接访问样本中的硬编码IP地址。这样可以使样本具有一定的随机性。

首例具有中文提示的比特币勒索软件“LOCKY”

域名在生成的时候,需要使用一个随机数,该随机数的计算是根据被感染机器的年月日进行的。

首例具有中文提示的比特币勒索软件“LOCKY”

2.3.2C&C服务器

受害主机与服务器是使用HTTP Post请求进行交互。受害主机访问C&C服务器上的main.php,参数有以下几个:

首例具有中文提示的比特币勒索软件“LOCKY”

受害主机所有发出的请求都使用样本中硬编码的key进行加密操作,加密后发送到C&C服务器。从服务器中接收的数据包同样使用特定的加密方法加密,接收到加密数据后,“Locky”会首先进行解密操作。

加密的数据包部分内容:

首例具有中文提示的比特币勒索软件“LOCKY”

数据包发送时加密的算法:

首例具有中文提示的比特币勒索软件“LOCKY”

接收到数据时,样本的解密算法:

首例具有中文提示的比特币勒索软件“LOCKY”

2.3.3 控制命令

目前所知道的控制命令有四种,分别为:stats、getkey、report、gettext。

首例具有中文提示的比特币勒索软件“LOCKY”

中文的提示信息如下:

首例具有中文提示的比特币勒索软件“LOCKY”

3.总结

通过安天CERT目前的分析来看,勒索软件“Locky”的功能与之前分析的勒索软件[1]的功能基本一致。勒索软件能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪;一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。安天CERT提示广大用户,即使支付赎金也不一定能保证可以完全恢复被加密的文件。防止数据被加密,更应该注意勒索软件的防御,养成良好的上网使用习惯,不要轻易执行来历不明的文件。

“Locky”和其他勒索软件的目的一致,都是加密用户数据并向用户勒索金钱。与其他勒索软件不同的是,它是首例具有中文提示的比特币勒索软件,这预示着勒索软件作者针对的目标范围逐渐扩大,勒索软件将发展出更多的本地化版本。

安天CERT预测,今后中国将受到更多类似的勒索软件攻击。所以,如何防御勒索便成为保卫网络安全的重要任务之一。

原文发布时间为:2016-04-25

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。


相关文章
|
Web App开发 安全 数据安全/隐私保护
McAfee:黑客借"极光漏洞"获取企业源代码
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
887 0
|
安全 数据安全/隐私保护
俄罗斯黑客暗网出售勒索软件服务(RaaS),价格低廉人人可用
本文讲的是俄罗斯黑客暗网出售勒索软件服务(RaaS),价格低廉人人可用,近日,安全研究人员发现了一款易于使用的勒索软件即服务(RaaS),只需要一次成功的感染就能够获得利润。被称为“Karmen”的勒索软件即服务(RaaS)变体
2073 0
|
安全 物联网 区块链
勒索软件爆发的真正原因竟然是因为比特币的匿名性
本文讲的是勒索软件爆发的真正原因竟然是因为比特币的匿名性,勒索软件自从1989年首次被发现之后,攻击性和威胁性就一直在进化,过去几年中,随着它对普通用户、企业、医院和政府机构的攻击变得更加容易,勒索软件的数量更是出现了井喷式的发展。
1503 0
|
安全
知名Mac软件被黑植入后门,连累更新用户代码被窃、惨遭勒索
本文讲的是知名Mac软件被黑植入后门,连累更新用户代码被窃、惨遭勒索,编者按:本文来自Panic公司(开发 Mac 和 iOS 软件)官方博客,为其联合创始人Steven Frank的亲身经历,该公司有一款大受好评的游戏叫《Firewatch(看火人)》。
1383 0
|
安全 Android开发 数据安全/隐私保护