Pay2Key
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体描述
Pay2Key可以被认为是一种新的、独特的勒索软件变体,因为根据最初的分析,它与其他勒索软件家族没有明显的联系。该勒索软件是用c++编写的,加密过程非常稳健,没有发现任何可以帮助研究人员开发加密密钥的错误。其他值得注意的特点包括现在臭名昭著的双重勒索策略,和其他勒索软件相比,解密文件的代价相对较低,只需11万到14万美元的比特币。此外,攻击者会在加密发生前的某个时间侵入目标网络,因此当攻击者决定部署勒索软件时,他们可以在网络上迅速传播恶意软件,一般在一个小时内完成加密过程。
攻击者通过易受攻击的RDP端口手动访问网络,这是勒索软件运营商最喜欢的策略。一旦网络受到攻击,攻击者就会向受到攻击的计算机复制几个文件,包括Cobalt.Client.exe,Pay2Key勒索软件和重要的配置文件。
配置文件值得特别注意,因为它们只包含两个条目,服务器和端口。与许多其他勒索软件不同,进入服务器不是通过连接到命令和控制服务器;相反,它是通过受感染机器的IP地址。这种方法既有优点也有缺点:它允许多台机器与受感染的机器进行通信,因为允许进行内部通信;然而,研究人员很难追踪到这个命令和控制服务器的地址,因为它不会像过去那样通过条目显示出来。
该勒索软件严重依赖面向对象的编程方法,这些方法强调围绕数据结构组织代码,而不是功能和逻辑。该代码提供了构造良好的类,并使用了几个第三方库,包括流行的库Boost。该代码大量使用了日志文件,极大地帮助了分析勒索软件的工作;但是,更新的版本会确保删除日志文件,从而使进一步的分析更加困难。
被Pay2Key勒索软件加密的文件:
该程序的主要类别是Cobalt::DataProcessing::RansomwareEngine,负责该恶意软件的大部分关键功能,包括通信、消息处理、文件管理和加密。关于代码的另一个有趣的说明是,Pay2Key将生成一对RSA密钥,并通过TCP将公钥发送到服务器。这些密钥用于在服务器和被感染的机器之间建立通信,以便接收消息并使勒索软件能够执行这些消息。
该勒索软件的赎金说明可以定制,包括受害者的名字和不同的ASCII字体编码。
赎金要求信息如下:
在对勒索软件进行分析期间,研究人员注意到已经开发了多个版本,每个版本都比以前的版本略有改进。最显著的改进是能够删除攻击者添加的文件并重新启动目标计算机的内务管理功能。
多年来,勒索软件加密的行业标准是应用一种非对称和对称加密算法的混合,通常使用AES和RSA算法。Pay2Key也经采用了这个标准,但它也包含了一些特别值得一提的特点。由于命令和控制服务器提供RSA密钥,因此可以安全地假定勒索软件不具备离线加密能力。恶意软件开发者还选择不包含用于联系受害者的密码原语。
加密过程中的奇怪之处在于RC4算法被用于某些加密过程。RC4更容易实现,但密码更容易被误用,这可能导致加密过程失败。为了实现密码,开发人员使用了通过Windows API的第三方实现;这种策略是奇怪的,因为恶意软件作者现在有各种选择,包括难以置信的强大的对称密码,RC4的已知缺陷似乎是违反直觉的。如果研究人员能在使用过程中发现错误,但却找不到任何错误,这就更成问题了。加密过程是可靠的,不太可能从加密过程的失败中开发出解密器。
当Pay2Key最初被分析的时候,赎金记录上说攻击者已经从受害者那里窃取了数据,如果赎金没有支付,就会公布这些信息。这就构成了“双重勒索”策略的核心:窃取数据,如果不支付赎金,就将其释放。然而,在最初的分析中,并没有证据表明Pay2Key确实窃取了受害者的数据。通常情况下,其他勒索软件运营商会在暗网上设立网站,充当博客和信息泄露网站的角色。通常,攻击者会宣布一个受害者,并提供少量被盗数据,以证明他们已经做了他们声称的事情。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Ranzy
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒执行体描述
Ranzy勒索软件于今年9月/ 10月出现,它似乎是ThunderX和Ako勒索软件(在较小程度上)的演变。Ranzy与它的前辈们在一些特性和底层原理上享有一致性。然而,Ranzy有几个关键的更新,包括加密的调整,转移的方法,以及(现在很常见的)使用公开的泄露博客为那些不服从赎金要求的人发布受害者的数据。
正如我们通过Ako和ThunderX观察到的,勒索软件的主要投递方法是带有恶意有效载荷的电子邮件(phish)。当前的示例(Ranzy Locker 1.1)为加密文件添加了一个. Ranzy扩展名(早期版本只使用. rnz)。同样值得注意的是,目前Ranzy Locker的有效负载往往包含与ThunderX相同的PDB补丁:
C:\Users\Gh0St\Desktop\ThunderX\Release\LockerStub.pdb
Ranzy使用加密算法的组合来加密目标数据。嵌入式RSA-2048密钥内置在勒索软件有效载荷中,Salsa20用于特定的文件/数据加密。Ranzy包含定位和加密本地驱动器(GetLogicalDrives)以及相邻(和可访问的)网络驱动器(NetShareEnum)文件/数据的功能。
像ThunderX和Ako一样,Ranzy将尝试通过扩展来加密多种文件类型,同时排除基于字符串的特定扩展名和路径。不包含.dll,.exe,.ini,.lnk,.key,.rdp后缀的文件将被加密。该勒索软件还将排除对特定关键路径下的文件/数据进行加密,如AppData、boot、PerfLogs、PerfBoot、Intel、Microsoft、Windows和Tor Browser。
一旦感染,Ranzy有效载荷采取了许多步骤,以确保达到最大的影响,并在可能的情况下抑制标准的恢复选项。特定的命令和语法在不同的Windows版本和风格中可能有所不同。这包括使用标准系统工具来操作VSS和启动时恢复选项。
执行后,勒索软件将迅速调用WMIC.EXE程序,并使用以下命令:
wmic.exe SHADOWCOPY /nointeractive
然后发出以下WBADMIN、BCDEDIT和VSSADMIN命令,将受害主机标记为已受损的状态:
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe Delete Shadows /All /Quiet
Ranzy Locker使用Windows Restart Manager API来帮助终止任何妨碍加密或进一步操纵目标系统的有问题的进程。一旦Ranzy进程开始,explorer.exe或其他正在运行的进程迅速退出。
分析的两个Ranzy版本都保留了最初出现在ThunderX中的多线程功能。有效负载首先通过GetSystemInfo()确定可用的处理器数量。随后,勒索软件将利用IoCompletionPort生成一个文件队列,这些文件将被加密。然后,勒索软件能够分配一些线程(等于识别的处理器数的两倍)。与Maze或NetWalker相比,这使得加密速度具有相当的竞争力。
Ranzy的ransom notes被存入包含受影响文件/数据的每个文件夹。在分析过的版本中,这些文件总是以名称readme.txt标识。在不同版本的勒索软件中,赎金记录有微小的变化。也就是说,ThunderX、Ranzy和Ranzy 1.1的基本结构和内容都非常相似。
也许赎金票据最显著的区别是在Ranzy 1.1中,受害者被指示访问基于tor的门户支付,进一步的指示和“支持”(在线聊天)。以前的变体只是让受害者通过电子邮件寻求进一步的指示。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
1、假冒亚马逊类钓鱼网:
https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
危害:骗取用户邮箱账号及密码信息。
2、假冒PDF类钓鱼网:
http://www.capelini.com.br/adobeCom/inc/
危害:骗取用户账号及密码信息。
3、假冒Paypal类钓鱼网:
http://www.skblibrary.org.in/cottonlibrary/a
危害:骗取用户账号及密码信息。
4、假冒腾讯游戏类钓鱼网站:
http://www.dnf233.com/
危害:骗取用户信用卡号及密码信息。
5、假冒Gmail类钓鱼网站
http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
危害:骗取用户邮箱账号及密码信息。
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供