Anatova勒索软件威胁预警 – 作者:江民安全实验室

1 威胁概述

近期在国外发现一款新型的勒索软件Anatova，该勒索软件通常将自己伪装成流行的游戏或者应用程序欺骗用户下载执行，运行后，它会主动请求管理员权限以便对用户磁盘文件进行加密，之后再索取赎金，目前该勒索软件主要在美国和欧洲部分国家被检测到，勒索要求采用10个DASH加密数字货币进行支付，实时报价约为700美元左右。

根据对Anatova的分析可以发现该勒索软件的作者是一个经验十足的恶意代码编写者，至今发现的多个样本中包含了不同的密钥和部分不同的函数，该勒索软件还预留了模块化扩展的功能，因此其可能衍生出更多的恶意行为，江民赤豹网络安全实验室提醒用户近期采取措施应对此类威胁。

2 恶意代码介绍

Anatova是一款以加密用户磁盘文件为目的的勒索软件，该勒索软件预留了模块化扩展的功能，后续有可能会增加新的恶意功能。当前主要在美国和欧洲部分国家发现了该勒索软件的踪迹，该勒索软件有简单的绕过分析设备的功能，并根据系统语言版本决定是否进行加密勒索行为，使用了RSA+Salsa20的方式进行加密，中招后不交赎金进行文件解密的可能性非常低。

3 恶意代码危害

加密用户磁盘文件并索要10个DASH加密数字货币(实时价格约700美元)。

4 恶意代码传播方式

伪装成流行的游戏或者应用程序欺骗用户下载执行。

5 恶意代码分析

1. Anatova勒索软件启动后先执行解密操作，将后续要使用到的字符串在内存中解密，然后获取kernel32.dll模块的地址，并使用GetProcAddress函数获取29个关键函数地址，供后续使用，如果获取失败则退出不执行恶意行为。

2.使用硬编码的字符串创建互斥体，防止勒索软件重复启动，至今捕获的不同样本此处使用的互斥体名称均不相同。

3.上述初始化操作完成后便会从动态库”advapi32.dll”，”Crypt32.dll”和”Shell32.dll”获取相关的函数地址，函数名在文件中也是处于加密状态，运行过程中动态解密并获取函数地址，如果获取失败则清理环境退出程序，不进行后续操作。

获取关键函数地址完成后便会校验当前登录系统的用户名，如果用户名为如下情况则直接清理环境退出程序，通过这种方式可以检测绕过部分配置不当的沙箱和分析主机。

4.检测完用户名之后，Anatova还会检测系统的语言版本，依靠系统安装的语言版本决定是否对当前主机进行加密勒索行为，通过内置的一个白名单，Anatova将不会对以下国家的主机进行加密勒索。

所有独联体国家
叙利亚
埃及
摩洛哥
伊拉克
印度

5.语言版本检查完毕后，便会检查一个标志位，当前发现的样本该标志位的值都为0，但当该标志位为1时，就会尝试加载两个DLL文件，分别名为”extra1.dll”和”extra2.dll”，这也预示着Anatova在将来很可能通过这种方式扩展其功能，而实现其他恶意行为。

6.之后该样本会遍历系统进程，查找指定进程并结束，比如结束”sqlserver.exe”，”word.exe”等，以便后续加密过程中不会出现问题，接下来就是使用Windows Crypto API生成RSA密钥对，并随机生成32位密钥和8位的随机数字用于CryptGenRandom函数使用Salsa20算法进行文件加密操作。

7.当密钥生成完成后，Anatova会枚举所有的逻辑磁盘并搜索存在的DRIVER_FIXED(普通硬盘)和DRIVER_REMOTE(远程共享磁盘)并尝试加密这些位置的所有文件，这也意味着局域网中有人中招后，网络共享中的磁盘文件很可能也会被加密。

8.同其他勒索软件一样，为了保证系统不会因为勒索软件而无法启动，Anatova也会跳过与系统以及关键程序相关的文件目录，比如“Windows”，“Program Files”，“Program Files（x86）”等目录，同时Anatova也不会对后缀名为.exe，.dll和.sys的可执行文件进行加密。

9.加密过程中，Anatova为了加快加密效率会检查文件大小，当文件超过1MB时，Anatova仅仅加密文件前1MB字节，从而实现整个磁盘文件的快速加密，整个加密过程采用RSA+Salsa20的方式进行，当一个目录中的文件加密完成后会在目录写入一个勒索展示用的文件。

10.最终完成加密，向用户进行勒索10DASH，同时承诺用户可以免费尝试解密一个不大于200kb的.jgp文件进行测试。

11. 当所有加密完成之后，Anatova还会快速删除卷影副本10次，使得用户很难通过系统还原的方式进行文件解密。