近期发现了一款名为MindLost的新型勒索软件,该勒索软件采用C#语言开发,其主要功能是采用AES加密方式加密本地文件,之后引导受害者至指定的网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。由于该病毒目前对自身有所限制,只会对C:\User目录下的指定类型文件进行加密,因此其破坏性还并不是很大,且其代码中还存在大量错误未修改,猜测该勒索软件可能还处于开发测试阶段,还并没有进入主动分发传播状态,因此建议广大用户及时安装杀毒软件防止此类勒索软件的攻击。
感染该勒索软件后会导致本地重要文件被攻击者采用AES算法加密,加密文件会被添加一个名为 .enc的新的后缀,之后桌面图标会被篡改并被要求支付赎金才能解密文件,若用户在攻击者的网站支付赎金进行解密操作则会泄露自身信用卡和借记卡信息,从而导致银行卡被盗刷等更加严重的问题。
样本详细分析报告
该勒索软件使用.NETFramework4.7开发环境开发,开发时间为2018年,且此样本属于开发版本1.0.0.0版本,该勒索软件生成名称为Encryptor,因此猜测此病毒仅仅具备用于加密文件勒索用户的功能。
根据反编译的结果可以清晰的看到程序的流程,绘制程序流程图如下:
反编译的Main函数依照上述的程序流程顺序执行,可以看出该勒索软件应该还处于初步开发阶段,并没有实现其他很复杂的功能。
依照程序流程,勒索软件首先隐藏自身窗口,然后将自身程序的路径写入注册表开机启动项,以实现勒索软件的开机启动。
之后便使用Sleep函数等待3分钟。
使用“cmd /c SYSTEMINFO”命令查询当前主机详细信息,并以该信息包含“VMware”字符串作为虚拟机检测的手法,若检查为虚拟机则退出程序不做任何恶意操作。
检查当前主机是否成功被勒索过,若已经付费解密过文件则不再进行感染,否则将进行加密文件的勒索操作。
生成AES加密密钥,填写加密过程使用的自定义的初始向量IV。
调用勒索软件实现的encryptAllFiles()函数实现对感染主机的文件加密操作。在该函数中又调用encryptToEncryptList()函数,最终调用encryptFile()实现对感染主机文件的AES加密操作。
加密过程为:先在将要加密的同目录下创建新的文件,该文件名称为之前文件名称在后面添加.enc后缀,之后便设置该加密文件为隐藏属性,然后将加密的字节流写入到隐藏的加密文件中,加密单个文件后,将该文件连同其路径记录到toDelete链表中,等到所有加密操作完成后再删除链表中指向的正常文件,最后再统一设置加密文件(*.enc)为可见状态。
在此勒索软件1.0.0.0版本中,加密过程仅针对后缀名为.txt|.jpg|.png|.pdf|.mp4|.mp3|.c|.py文件进行加密操作,且设置了禁止加密的文件目录Windows,Program Files和Program Files(x86)。其中目录设置中还包含错误的文件目录.pdf|.mp4,且其加密目录范围被限制在C:\Users文件夹下,且加密过程完成后还伴随有打印消耗时间的操作,进一步可以看出此勒索软件还处于开发测试阶段。
在执行完加密操作后便将AES密钥信息通过SQL命令保存在数据库中。
最后到指定站点下载勒索标志图片,并将其设置为桌面提示用户付费解密操作,并且将本机UID信息写入桌面新生成的文件ID.txt,使用此信息进行付费解密操作。
提示用户进行付费解密操作,引导用户到http://mindlost.azurewebsites.net网址进行付费解密文件的操作。
根据对该勒索样本的分析可以看出这是一款刚刚开发的勒索软件,其代码中还包含众多用于测试的代码,因此猜测该版本的勒索软件并没有正式进入分发传播攻击阶段,应该还处于持续开发阶段,建议广大用户安装杀毒软件防御此类勒索软件的攻击,江民杀毒能够有效检测清除此类恶意软件,防止用户遭受损失。
来源:freebuf.com 2018-02-06 13:04:05 by: 江民安全实验室
请登录后发表评论
注册