首例具有中文提示的比特币勒索软件“LOCKY”

2016-04-05 14:32:00 作者:ym 分类 : 比特网

  1 概述

  安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。

  2 样本分析

  2.1 样本标签

  1.1样本功能

  该勒索软件“Locky”使用绑架用户数据的方法对用户进行敲诈勒索。它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。

  “Locky”样本的本地行为:复制自身到系统临时目录%Temp%下,并重新命名为svchost;对系统中的文件进行遍历,判断文件后缀名是否在样本内置的列表中,若存在,则对样本进行加密操作;在多个文件夹中创建提示文件_Locky_recover_instructions.txt;在桌面上创建文件_Locky_recover_instructions.bmp;并将该文件设置为桌面背景,提示用户如何操作可以成功恢复被加密的文件;添加相关注册表键值;删除系统还原快照

  ü  复制自身到%Temp%目录下名为svchost.exe,并添加启动项。

  ü  加密上百种文件类型如下:

  .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay  .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

  ü  对路径和文件名中包含下列字符串的文件不进行加密:

  tmp, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

  ü  “Locky”添加的注册表项

  HKCU\Software\Locky

  HKCU\Software\Locky\id

  HKCU\Software\Locky\pubkey

  HKCU\Software\Locky\paytext

  HKCU\Software\Locky\completed

  HKCU\Control Panel\Desktop\Wallpaper        "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

  ü  删除系统还原快照

  通过调用vssadmin.exe Delete Shadows /All /Quiet 删除全盘所有卷影副本,使受害系统不能够通过卷影副本进行系统还原。

  ü  网络行为:

  l  向C&C服务器发送被感染机器的部分信息

  l  从C&C服务器下载RSA公钥,为后面的加密做准备。

  l  上传将被加密的文件列表。

  l  根据系统语言从服务器获取对应的提示信息。

  1.2  相关技术

  1.2.1   域名生成算法

  “Locky”样本会首先使用函数rdtsc获取处理器时间,将该值与某变量进行求余运算,通过对该值的判断来决定样本是访问使用算法生成的域名,还是直接访问样本中的硬编码IP地址。这样可以使样本具有一定的随机性。

说明: atniyLogo.png

  图 1 域名生成算法

  域名在生成的时候,需要使用一个随机数,该随机数的计算是根据被感染机器的年月日进行的。

说明: atniyLogo.png

  图 2 随机值计算

  1.2.2  C&C服务器

  受害主机与服务器是使用HTTP Post请求进行交互。受害主机访问C&C服务器上的main.php,参数有以下几个:

  受害主机所有发出的请求都使用样本中硬编码的key进行加密操作,加密后发送到C&C服务器。从服务器中接收的数据包同样使用特定的加密方法加密,接收到加密数据后,“Locky”会首先进行解密操作。

  加密的数据包部分内容:

说明: atniyLogo.png

  图 3 数据包内容

  数据包发送时加密的算法:

说明: atniyLogo.png

  图 4 加密算法

  接收到数据时,样本的解密算法:

说明: atniyLogo.png

  图 5 解密算法

  1.1.1 控制命令

  目前所知道的控制命令有四种,分别为:stats、getkey、report、gettext。

  中文的提示信息如下:

说明: atniyLogo.png

  图 6 提示内容

  ·总结

  通过安天CERT目前的分析来看,勒索软件“Locky”的功能与之前分析的勒索软件的功能基本一致。勒索软件能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪;一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。安天CERT提示广大用户,即使支付赎金也不一定能保证可以完全恢复被加密的文件。防止数据被加密,更应该注意勒索软件的防御,养成良好的上网使用习惯,不要轻易执行来历不明的文件。

  “Locky”和其他勒索软件的目的一致,都是加密用户数据并向用户勒索金钱。与其他勒索软件不同的是,它是首例具有中文提示的比特币勒索软件,这预示着勒索软件作者针对的目标范围逐渐扩大,勒索软件将发展出更多的本地化版本。

  安天CERT预测,今后中国将受到更多类似的勒索软件攻击。所以,如何防御勒索便成为保卫网络安全的重要任务之一。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。