01.勒索病毒再次变种
近期,已有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。
加密文件的扩展名
变种邮件所使用的邮箱
02.传播途径
GlobeImposter传播的手段极其丰富,可通过网络、病毒邮件、网页插件、移动存储介质等进行传播,诱骗受害者激活恶意代码。在众多的传播途径中,又因邮件的传播便捷性,所以该勒索病毒通过邮件为载体传播并使用户感染的数量最多。
03.深度分析
GlobeImposter家族变种较多,但近期传播的样本的恶意代码框架和流程是一致的,惟一不同的就是加密文件的后缀名和攻击者的邮箱地址信息,这里以其中一个样本为例进行分析说明(MD5:533af4fd1056779eb10bb29ae9f97752)。
1. 恶意代码样本为了防止被轻易地分析,加密了大多数字符串和一部分API,运行后会在内存中动态解密,解密后可以看到样本在加密时排除的文件夹与后缀名。
2. 样本复制自身到%appdata%下,并通过在RunOnce下增加键值指向该恶意程序的BrowserUpdateCheck键,设置其开机时自启动。
3. 样本使用RSA2048与RSA1024算法进行加密。
a) 首先调用CryptGenRandom随机生成一组128位的密钥对;
b) 然后使用样本中硬编码的256位公钥加密刚刚随机生成的私钥;
c) 最后生成受害者的个人ID, 最后利用随机生成的公钥加密排除文件夹列表以外的所有文件并将个人ID写到加密文件的末尾;
d) 将加密后的文件重命名为后缀名为.TRUE的文件。
4、 勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html
a) HTML头部会保存加密文件时使用的 随机个人ID;
b) 然后引导受害者通过邮件与勒索者进行联系,要求受害者将一个加密的图片或文档发送到指定的邮箱进行付费解密。
04.解决方案
MailData研发中心对大量的病毒样本进行深入分析,凭借自身在邮件安全领域的技术积攒。首个提出病毒邮件行为分析技术概念,该技术目前已被融入MailData邮件网关产品并投入实际生产环境运行。MailData邮件网关针对勒索病毒的泛滥,采用双重隔离技术进行拦截和查杀。
1. 病毒邮件行为分析技术
分析正常公务电子邮件流转与病毒邮件的投递机制,病毒邮件的传播从频率、连接动作、源地址等发送特种都有异于正常邮件的特征与方式。MailData可根据这些行为特征的差异鉴别出该邮件是否为正常邮件,可实现对80%以上勒索病毒邮件的预拦截。
2. 双重病毒引擎
MailData与国内知名安全厂商瑞星进行深度合作,在产品中嵌入瑞星高性能病毒查杀引擎。同时,还将国际知名反病毒组织的ClamAV病毒引擎嵌入其中。形成双重查杀架构,使病毒、木马、勒索等有害邮件无处遁形。
来源:freebuf.com 2020-06-23 18:08:01 by: 啃玉米的小仙女
请登录后发表评论
注册