Embed Size (px)
Citation preview
启明星辰 ADLab 勒索软件专题报告
启明星辰积极防御实验室
启明星辰 ADLab 勒索软件专题报告
目 录
1. 概述 .............................................................................................................................................. 1
1.1.2016,勒索之年 ..................................................................................................................... 1
1.2.2017 勒索攻击活动威胁情报信息速递 ................................................................................ 1
2. 勒索软件的基本概念与原理 ....................................................................................................... 5
2.1.什么是勒索软件 ..................................................................................................................... 5
2.2.勒索软件的分类 ..................................................................................................................... 5
2.3.勒索软件的特点 ..................................................................................................................... 6
2.4.勒索软件的原理 ..................................................................................................................... 7
2.4.1 加密勒索软件运行原理 .................................................................................................. 7
2.4.2 勒索软件传播方式 .......................................................................................................... 8
2.4.3 勒索软件感染方式 .......................................................................................................... 9
3. 勒索软件的发展历史 ................................................................................................................. 10
3.1.加密勒索软件 ....................................................................................................................... 11
3.2.不加密勒索软件 ................................................................................................................... 12
3.3.移动勒索软件 ....................................................................................................................... 12
3.4.典型的勒索软件家族 ........................................................................................................... 13
3.4.1CryptoLocker .................................................................................................................. 13
3.4.2CTB-Locker .................................................................................................................... 15
3.4.3TeslaCrypt ....................................................................................................................... 16
3.4.4Locky .............................................................................................................................. 18
3.4.5Cerber .............................................................................................................................. 22
4. 抵御勒索软件攻击 ..................................................................................................................... 22
4.1.构建防御:防止勒索软件进入系统 ................................................................................... 22
4.2.中断损伤:检测和阻止破坏产生 ....................................................................................... 23
4.3.灾难恢复:从感染中恢复 ................................................................................................... 24
5. 参考文献:................................................................................................................................. 27
启明星辰 ADLab 勒索软件专题报告
1
1. 概述
1.1. 2016,勒索之年
纵观过去一年国内外网络勒索事件,可以看到,勒索软件在运行模式、加密技术等方面
不断创新和改进,攻击目标从医疗、交通、政府、酒店等行业,开始出现向 IOT、工控,以
及公有云领域扩展的趋势。
另外,趋势科技 2016 年度安全报告显示,新勒索软件家族的数量仅 2016 年就增加了
752%。
图 1 每月增加的勒索软件家族数量【图片来源:TrendMicro】
1.2. 2017勒索攻击活动威胁情报信息速递
在刚刚过去的 RSA 2017 的一个专题演讲中,勒索软件被定义为七大致命攻击之首,成
为最受关注的安全威胁。从去年开始,我们的威胁情报研究团队就一直与合作伙伴一起持续
关注勒索软件的发展动向,以便及时为我们用户提供咨询和支持。以下是我们威胁情报研究
团队在过去的一个月观察到的勒索软件威胁情报。
(1)Cerber 勒索软件瞄准国内某金融机构
我们的威胁情报研究团队和合作伙伴于 2017 年 2 月 20 日左右观察到某金融机构遭到
Cerber 勒索软件的威胁,随即开始对这个勒索软件活动进行相应的分析。分析发现该恶意团
伙疑似 2016 年圣诞节开始针对个人实施勒索活动, 2017 年春节期间开始针对企业目标实
启明星辰 ADLab 勒索软件专题报告
2
施勒索活动,并且该团伙的威胁活动仍然在继续。该团伙使用网络钓鱼邮件手段,利用恶意
Office 携带宏代码投递 Cerber 恶意程序。通过样本分析,我们推测该勒索软件团伙可能位于
欧洲且使用俄语作为主要语言。该勒索活动针对 13 种语言操作系统发起勒索攻击,涉及语
言有:英文、阿拉伯文、中文、荷兰语、法语、德语、意大利语、日语、韩语、波兰语、葡
萄牙语、西班牙语、土耳其语,上述语言的 Windows 操作系统可能会被攻击,而这个语言
列表中没有俄罗斯语。我们观察到此团伙的威胁活动针对行业有:金融银行业、IT 及网络
服务商、政府机构、医疗行业、能源电力等。以下是该攻击活动的威胁情报指标:
威胁源
图 2 Cerber 威胁指标分布图
攻击目标
Windows 10
Windows 8
Windows 7
Windows XP
传播方式
网络钓鱼邮件等。
应对措施
针对该攻击活动共观察到 68 条指示器,网关设备可对指示器进行阻断。
指示器
启明星辰 ADLab 勒索软件专题报告
3
序号 类型 指示器 描述 动作 国家
1 IP 91.121.218.11 6892 UDP Cerber Server 阻断 法国北部
2 域名 qoee3cool.top Cerber Sample Website 阻断 意大利
3 IP 91.121.218.159 6892 UDP Cerber Server 阻断 法国北部
4 IP 91.119.40.23 6892 UDP Cerber Server 阻断 奥地利
5 IP 91.121.218.205 6892 UDP Cerber Server 阻断 法国北部
6 IP 91.121.219.76 6892 UDP Cerber Server 阻断 法国北部
… … … … … …
(2) Nymaim 勒索软件瞄准国内某金融机构
我们的威胁情报研究团队和合作伙伴于 2017 年 3 月 10 日左右观察到某金融机构遭到
Nymaim 勒索软件的威胁,随即开始针对该勒索活动进行相应的分析。分析发现该恶意团伙
从 2016 年 11 月开始发起 Nymaim 勒索攻击,并且该团伙的威胁活动还在继续。该团伙使用
网络钓鱼邮件手段,利用恶意 Office 文档携带宏代码投递 Nymaim 恶意程序。通过样本分析
我们推测出该勒索团伙位于欧洲地区且有可能是使用波兰语的威胁组织,使用鱼叉式钓鱼邮
件方式、Office 文件携带恶意 VBA 宏代码实施了 Nymaim 下载器并携带勒索软件功能的恶
意活动。此次威胁活动主要针对的目标是网络购物及金融行业的个人用户。以下是该攻击活
动的威胁情报指标:
威胁源
图 3 Nymaim 威胁指标分布图
启明星辰 ADLab 勒索软件专题报告
4
攻击目标
Windows 10
Windows 8
Windows 7
Windows XP
传播方式
网络钓鱼邮件等。
应对措施
针对该攻击活动共观察到 68条指示器,网关设备可对指示器进行阻断。
指示器
序号 类型 指示器 描述 动作 国家
1 域名 amosirago.co nymaim C2 doamin 阻断 美国 爱荷华州
2 域名 fedisogfnes.com nymaim C2 doamin 阻断 美国 爱荷华州
3 域名 fanekobani.co nymaim C2 doamin 阻断 美国 爱荷华州
4 IP 104.198.56.86 nymaim C2 阻断 美国 爱荷华州
5 IP 176.121.202.176 nymaim C2 阻断 乌克兰
6 URL http://fesirunfve.
com/qkdn.php
nymaim C2 阻断 美国 俄勒冈州
… … … … … …
2016年被称为勒索之年,勒索软件攻击活动如火如荼,2017年这种攻击活动将继续猖
獗,作为企业用户也好,个人用户也罢,都会成为勒索软件的攻击目标。所以不管作为企业
用户还是个人用户,了解什么是勒索软件,勒索软件如何传播和感染,勒索软件如何进行防
范和缓解,一旦受感染如何进行有效应对,对于我们来讲都有非常重要的意义和作用。
启明星辰 ADLab 勒索软件专题报告
5
2. 勒索软件的基本概念与原理
2.1. 什么是勒索软件
勒索软件(Ransomware)是一个复杂的恶意软件,它利用垃圾邮件等各种方式感染受害
者的电脑或者移动设备,通过锁定系统、加密文件等方式阻止受害者访问他/她的文件,并
以此为条件勒索钱财。
对于加密型勒索软件,加密的对象包括文档、邮件、数据库、源代码、图片、压缩文件
等多种形式。赎金包括真实货币、比特币或其他虚拟货币。一般来说,勒索软件编写者还会
设定支付时限,赎金随时间推移上涨。有时即使用户支付了赎金,仍然无法正常使用系统、
还原被加密的文件。
2.2. 勒索软件的分类
目前为止有两种类型的勒索软件比较流行,具体情况如下:
加密勒索软件,该类型结合了先进的加密算法,它利用加密技术加密系统文件,以阻止
对系统文件的访问,并要求支付赎金,然后为受害者提供可以解密被阻止的内容的密钥。例
如 CryptoLocker、Locky、CrytpoWall等。
图 4 加密勒索软件
Locker勒索软件,它锁定受害者的操作系统,使用户无法访问桌面和任何应用程序或
文件。这种情况下文件不加密,但攻击者仍然要求赎金解锁受感染的计算机。例如
Police-Themed Ransomware 和 WinLocker等。
启明星辰 ADLab 勒索软件专题报告
6
图 5 Locker 勒索软件
与此类型相关的另一个版本是主引导记录(MBR)勒索软件。MBR是 PC硬盘驱动器的一
部分,使操作系统能够启动。当 MBR勒索软件触发时,引导进程无法照常完成,并在屏幕上
显示赎金注释。例如 Satana和 Petya Ransomware。
2.3. 勒索软件的特点
在已知的已发现勒索软件中,勒索软件具有一些关键的特点,使他们与其他恶意软件区
分开来。当然随着新的勒索软件家族和新的勒索软件变种的不断出现,勒索软件的新功能也
会不断增加。具体情况如下:
(1)有难以破解的加密;
(2)有能力加密各种文件,从文档到图片、视频、音频文件和电脑上的其他东西;
启明星辰 ADLab 勒索软件专题报告
7
(3)可以干扰您的文件名,所以很难知道哪些数据受到影响,这是用来混淆和强迫受
害者支付赎金的社会工程技巧之一;
(4)感染文件后,会在文件添加不同的扩展名,有时表示特定类型的勒索软件;
(5)感染后,会显示一个图像或一个消息,以通知计算机用户其数据已被加密,必须
支付一定金额才能进行解密;
(6)要求用比特币支付,因为这种加密货币网络安全研究人员或执法机构很难跟踪;
(7)通常,支付赎金有时间限制,超过最后期限意味着赎金将增加,也可能会伴随着
数据被销毁和永远丢失;
(8)使用一组复杂的逃避技术,躲避传统的杀毒软件的检测;
(9)经常将受感染的 PC加入到僵尸网络中,因此网络犯罪分子可以扩展其基础设施并
为未来的攻击提供燃料;
(10)可以传播到本地网络中连接的其他主机,造成进一步的损坏;
(11)经常会导致数据泄露,勒索软件可以从受影响的计算机中提取数据,并将其发送
到网络罪犯控制的服务器;
(12)有时包括地理位置定位,意味着赎金注释被翻译成受害者的语言,以增加支付赎
金的机会。
2.4. 勒索软件的原理
2.4.1 加密勒索软件运行原理
利用公钥密码术进行攻击的加密勒索软件最初是由哥伦比亚大学的 Adam L . Young和
Moti Yung发明和实现的,他们在 1996年 IEEE安全与隐私会议上提出了这一概念。它被称
为加密病毒勒索,在攻击者和受害者之间进行以下 3轮协议:
【攻击者→受害者】攻击者生成密钥并将相应的公钥置入恶意软件。恶意软件被释放。
【受害者→攻击者】为了执行加密病毒勒索攻击,恶意软件生成随机对称密钥,并用其
加密受害者的数据。然后使用恶意软件中的公钥来加密对称密钥。这被称为混合加密。然后
勒索软件将对称密钥和原始明文数据归零,以防止被恢复。然后向用户发出包含不对称密文
和如何支付赎金的消息。受害者向攻击者发送不对称的密文和电子货币。
启明星辰 ADLab 勒索软件专题报告
8
【攻击者→受害者】攻击者接收付款,用其私钥解密非对称密文,并将对称秘钥发送给
受害者。受害者用所需的对称密钥解密加密的数据,从而完成加密病毒勒索的攻击。
对称密钥是随机生成的,所以解密密钥对其他受害者是没有任何作用的。攻击者的私钥
不会暴露给受害者,受害者只需要向攻击者发送一个非常小的密文(非对称密文)。
勒索软件攻击通常使用木马来执行,通过例如下载的文件或者网络服务中的漏洞进入系
统。然后程序运行有效载荷,其以某种方式锁定系统或声称锁定系统,或不锁定系统(例如
Scareware程序)。有效载荷可能会显示一个实体假警告,如扮演执法机构,假称该系统已
用于非法活动,包含如色情和“盗版”的媒体内容。
2.4.2 勒索软件传播方式
勒索软件 Ransomware 可以通过任何可用的手段进行传播。网络犯罪分子通常只寻最简
单的传播方法。以下是网络犯罪分子用来传播勒索软件最常用的方法:
(1)包含恶意链接或附件的垃圾邮件;
(2)易受攻击软件中的安全漏洞;
(3)互联网流量重定向到恶意网站;
(4)在其网页中注入恶意代码的合法网站;
(5)驱动下载;
(6)恶意广告活动;
(7)短信(适用于针对移动设备的勒索软件);
(8)僵尸网络;
(9)自我传播(从一台感染的计算机传播到另一台);
(10)勒索软件即服务的联盟计划(通过帮助进一步传播勒索软件获得一部分利润)。
当然,勒索软件也会利用社会工程学的方法与以上的一些方法进行组合攻击,这些攻击
日益精炼,网络犯罪分子从之前的错误中不断学习,升级他们的恶意代码,以使其功能更强
大,更具侵扰性,更适合逃避检测。
例如,网络犯罪分子在互联网上找到易受攻击的网站,比如在全球范围内广泛部署的未
及时更新的 WordPress架构的网站,通过在网站中注入恶意 Javascript 代码,并以此为基
础将潜在的受害者重定向到受感染的网站,从而使受害者感染勒索软件。
启明星辰 ADLab 勒索软件专题报告
9
图 6 勒索软件的传播方式
2.4.3 勒索软件感染方式
虽然每个勒索软件版本的感染阶段略有不同,但是关键阶段基本如下图所示。
图 7 勒索软件的感染方式
(1)最初,受害者收到包含恶意链接或恶意软件附件的电子邮件,或者源自恶意网站,
其通过使用来自系统的易受攻击的软件漏洞来传递攻击代码,以使在受害者的 PC上安装后
门;
(2)如果受害者单击链接或下载并打开附件,下载器(有效载荷)将放置在受影响的
PC上;
(3)下载器从由网络罪犯控制域名或 C&C服务器的列表里的系统上下载勒索软件程序;
(4)被联系的 C&C服务器对请求进行响应;
启明星辰 ADLab 勒索软件专题报告
10
(5)勒索软件开始加密整个硬盘的内容,几乎所有的个人文件和敏感信息,甚至包括
PC上同步的存储在云账户中的数据,还可以加密连接在本地网络中的其他计算机上的数据;
(6)在屏幕上弹出警告信息以及如何支付指令的解密秘钥。
图 8 CTB-Locker
3. 勒索软件的发展历史
历史上第一个已知的勒索软件出现在 1989年(28年前)。是由约瑟夫•波普开发的“AIDS
Trojan”,该木马在设计上存在一个缺陷,可以不需要支付赎金。该勒索软件的有效载荷会
隐藏硬盘驱动器上的文件,并仅加密文件名称,然后显示一条消息,声称用户使用的某个软
件的许可证已过期。要求用户向“PC Cyborg Corporation”支付 189美元,以便获得修复
工具。但实际上解密密钥可以从木马的代码中提取。木马也被称为“PC机器人”。最终波普
被宣布为精神上存在问题而不适合为他的行为进行宣判,但是他承诺将勒索软件的所有所得
捐赠给艾滋病研究机构进行艾滋病的研究。
但是现在已经发生了巨大变化,随着网路犯罪的发展,以及比特币出现和加密算法的进
步,使得勒索软件的开发技术日趋成熟,勒索软件攻击逐渐发展成为流行的安全威胁。下图
显示了恶意软件研究人员在过去 10年发现的勒索软件家族信息。
启明星辰 ADLab 勒索软件专题报告
11
图 9 勒索软件家族信息[图片来源:CERT-RO]
3.1. 加密勒索软件
如前文所述第一个已知的勒索软件是“AIDS Trojan”,由约瑟夫•波普在 1989年开发,
众所周知,该勒索软件有一个致命的设计缺陷,利用对称加密算法,并且密钥就包含在勒索
软件样本中,解密工具可以很快恢复文件名称,但这开启了近三十年的勒索软件攻击。
1996年 Adam L.Young和 Moti Yung介绍了使用公钥密码术进行攻击的概念。他们批评
了失败的“AIDS Trojan”的缺陷,并通过实验验证了他们的概念。使用 RSA和 TEA混合加
密受害者数据,从此进入了公钥密码术勒索软件攻击时代。
勒索软件的实例在 2005年 5月变得比较突出,到 2006年年中,勒索软件 Gpcode、
TROJ.RANSOM.A、Archiveus、Krotten、Cryzip 和 MayArchive开始使用更复杂的 RSA加密
方案。2006年检测到的Gpcode.AG使用660位RSA公钥加密。2008年6月,被检测的Gpcode.AK
变种,使用 1024 位 RSA密钥。
随着以CryptoLocker为代表的勒索软件在2013年底的崛起--使用比特币数字货币平台
收受赎金。2013 年 12月,ZDNet根据比特币交易信息估计,10月 15日至 12月 18日,
CryptoLocker犯罪运营集团从受感染用户处收受了约 2700万美元。随后 CryptoLocker技
术被广泛的复制,勒索软件进入繁荣的阶段。2015年 1月,据报道,出现了瞄准 Linux服
务器的勒索软件攻击事件。
启明星辰 ADLab 勒索软件专题报告
12
3.2. 不加密勒索软件
2010 年 8 月,俄罗斯当局逮捕了 9 名与勒索软件 WinLock 相关的人。与以前的 Gpcode
不同,WinLock 通过显示色情图片来限制对系统的访问,并要求用户发送付费短信(花费大
约 10 美元)来接收可用于解锁其计算机的代码。这个骗局袭击了俄罗斯和邻国的众多用户,
勒索所得收入据说超过 1600 万美元。
2011 年,另外一个勒索软件模仿 Windows 产品激活通知,并通知用户系统必须重新激
活,由于“作为一个欺诈的受害者”,提供了在线激活选项(如实际的 Windows 激活过程),
但是实际上是虚假的,要求用户拨打六个国际号码中的一个以输入 6 位数代码。
2013 年 2 月,基于 Stamp.EK exploit 套件的勒索软件木马出现;该恶意软件是通过站点
托管服务 SourceForge 和 GitHub 且声称提供名人的“假裸体图片”的网站分发。2013 年 7 月,
一个 OS X 平台勒索软件浮出水面,该勒索软件通过启动一个网页,并显示出指责用户下载
色情文件的消息进行勒索。与基于 Windows 的同类产品不同,它不会阻止整个计算机,而
只是利用 Web 浏览器本身的行为来阻止通过正常方式尝试关闭网页的行为。
3.3. 移动勒索软件
随着勒索软件在 PC 上日益流行,勒索软件数量也大大增加。智能手机也受到勒索软件
的影响,特别是 Android 设备。(IOS 设备由苹果公司提供保护,他们限制哪些应用程序可
以放到 IOS App Store。)
与计算机上的勒索软件不同,计算机平台上加密勒索软件比非加密勒索软件更加普遍,
移动设备上几乎没有加密勒索软件,因为移动平台上大多数关键数据存储在云中。数据会在
云存储中备份,不需要支付赎金也一样能够恢复。为此,非加密勒索软件在移动平台上更受
欢迎。
移动勒索软件通常通过在第三方商店中假冒合法应用程序进行传播,它们也可以通过其
他方式传播,例如受感染的电子邮件和不安全的网站。它们通过一些技术手段阻止用户正常
使用手机。这种类型的勒索软件在移动设备上更加有效,因为硬盘驱动器通常被焊接在主板
上,在 PC 上可以简单地从受感染的 PC 拔出硬盘驱动器并使用另一个 PC 来检索其数据。
为了保护手机免受勒索软件的攻击,可以定期扫描手机上的恶意软件,避免可疑的链接和应
用程序。
启明星辰 ADLab 勒索软件专题报告
13
3.4. 典型的勒索软件家族
3.4.1 CryptoLocker
图 10 CryptoLocker 感染分布图
2013 年 9 月是勒索软件历史的关键时期,因为 CryptoLocker 诞生了。CryptoLocker 是
第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式感染用户的勒索软件。
CryptoLocker 感染快速蔓延,因为威胁利用了现有的 GameOver Zeus 僵尸网络基础设施。在
2014 年的 Operation Tovar 终止了 GameOver Zeus Trojan 和 CryptoLocker 活动。
CryptoLocker 利用 AES-256 来加密特定扩展名的文件,然后使用 C&C 服务器生成的
2048 位 RSA 秘钥来加密 AES-256 位密钥。攻击者威胁称如果在三天内没有收到钱他们将删
除私钥。
CryptoLocker 感染在 2013 年 10 月达到峰值,当时它月感染大约 15 万台计算机。
当用户感染CryptoLocker 时,CryptoLocker首先会将自身以随机名称保存到%AppData%
或%LocalAppData%路径,然后创建以下注册表键实现自启动:
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"CryptoLocker"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"*CryptoLocker"
启明星辰 ADLab 勒索软件专题报告
14
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"CryptoLocker_<version_number>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"*CryptoLocker_<version_number",
根据 Microsoft 的文档描述,在默认情况下当计算机以安全模式启动时会忽略 Run 项,
在 RunOnce 项下,如果在值名称前加入*会使程序即使在安全模式下也运行,CryptoLocker
正是利用了这一点使自身在安全模式下也能随系统启动运行。
CryptoLocker 通过劫持扩展名 exe 的执行程序来使用户运行可执行程序时先执行
"C:\Windows\SYsWOW64\cmd.exe" /C "C:\Windows\Sysnative\vssadmin.exe" Delete Shadows
/All /Quiet 来删除卷副本。
CryptoLocker 在加密用户文件前首先会构造请求连接远程服务器,其中请求格式为
version=&id=&name=&group=&lid=,该请求中包括了 CryptoLocker 的版本、ID、用户名及
系统语言。
CryptoLocker 的 C&C 采用了硬编码的 IP 地址及 DGA 算法生成的域名,首先
CryptoLocker 会尝试用硬编码的 IP 地址进行连接,如果连接不成功,则使用 DGA 算法生成
的域名进行连接。
当 CryptoLocker 成功连接到 C&C 后,会从 C&C 接收 RSA 公钥,并将该公钥保存在注
册表 HKEY_CURRENT_USER\Software\CryptoLocker 下,该注册表键还会保存 CryptoLocker
的版本及提示信息。然后 CryptoLocker 生成一个 AES 密钥用来加密硬盘中以*.odt, *.ods,
*.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt,
*.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd,
*.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay,
*.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d,
*.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.为扩展名的文件,
加密完成后 CryptoLocker 会利用从服务器获取到的 RSA 公钥加密 AES 密钥,并把加密结果
保存到被加密文件的头部。
CryptoLocker 会 将 加 密 的 文 件 路 径 及 名 称 存 储 在 注 册 表 键
HKEY_CURRENT_USER\Software\CryptoLocker\Files 下。
启明星辰 ADLab 勒索软件专题报告
15
图 11 CryptoLocker 月感染量
3.4.2 CTB-Locker
与过去其他变体不同,CTB-Locker 直接与 Tor 中 C2 服务器通信,而不是具有多层基础
设施。CTB-Locker 在运行时会一直保持静默状态,直到用户的所有文件被加密,并通过 Tor
将密钥相关数据上传到远程服务器后,才会向用户显示警告,用户必须支付比特币才能获得
解密密钥。
从采用的技术上来说,CTB-Locker 会通过创建计划任务,来实现自启动,而且该勒索软
件在运行过程中会判断 vboxtray.exe、vboxservice.exe、vmtoolsd.exe 等虚拟机进程是否存在,
来 阻 碍 分 析 。 CTB-Locker 的 加 密 目 标 包 括 上 百 种 文 件 , 其 中 有
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,rtf,docm,xls,xlsx,safe,groups,
xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,
ai,arw,bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,
p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb
,bsdr,bsdu,bdcr,bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx。
CTB-Locker 会将待加密的文件以后缀名.tmp 移动到临时目录下面,然后根据文件的时
间和系统时间等,构造缓冲区,并计算该缓冲区的 SHA256 值,以该值作为会话私钥,使用
启明星辰 ADLab 勒索软件专题报告
16
ECDH 算法产生一个会话公钥,再与配置文件中的主公钥使用 ECDH 算法生成会话共享密
钥,对会话共享密钥计算 SHA256 并将这个值作为 AES 加密的 key,对文件进行加密。
图 12 CTB-Locker 勒索软件
3.4.3 TeslaCrypt
TeslaCrypt 也出现在 2015 年,这可能是持续威胁,因为开发人员制作出了四个版本。
它首先通过 Angler 漏洞利用工具包来分发,之后再通过其他方式来分发。TeslaCrypt 利用
AES-256 来加密文件,使用 RSA-4096 来加密 AES 私钥。Tor 内的 C2 域被用于支付和分发。
在其基础设施内包含多层,包括代理服务器。TeslaCrypt 本身非常先进,其包含的功能可允
许在受害者机器保持灵活性和持久性。
TeslaCrypt 在原有勒索软件技术上加入了反调试、反沙箱技术以及防篡改保护。
TeslaCrypt 通过检测 URLReader2 接口来检测当前是否运行在沙箱中,如果被检测到在
沙箱环境中运行,则退出进程。
启明星辰 ADLab 勒索软件专题报告
17
图 13 检测代码
每 200 毫秒,TeslaCrypt 会枚举所有正在运行的进程,查找当前系统中是否存在 taskmgr、
procexp、regedit、msconfig、cmd 进程,如果发现以上进程,则使用 TerminateProcess 函数
终止。
TeslaCrypt 加密的文件格式如下:
图 14 TeslaCrypt 加密的文件格式列表
Tesla 在运行过程中会将 C&C 解密,构造连接字符串,尝试连接,其中连接字符串为
Sub=(命令)&dh=(master_key_pub)&addr=%s&size=(未知)&version=(病毒版本信息)&OS=(操
作系统信息)&ID=(硬编码,未知)&inst_id=(随机值 system.bin 文件中的前 8 字节)。
启明星辰 ADLab 勒索软件专题报告
18
图 15 C&C 列表
3.4.4 Locky
Locky 是迄今为止最流行且最大胆的勒索软件家族之一,该勒索软件于 2016 年 2 月被
发现,Locky 通过网络钓鱼活动及利用 Dridex 基础设施快速传播。Locky 也因为感染美国多
个地区的医院而登上新闻头条。攻击者发现受感染医疗机构很快就支付赎金,这一发现导致
包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播。截止 2016 年 4 月,Locky 的
感染活动已经席卷全球,2016 年 4 月 Locky 的地理位置分布情况如下所示:
启明星辰 ADLab 勒索软件专题报告
19
图 16 2016 年 4 月 Locky 感染分布图【图片来源:securelist】
Locky 通过使用 RSA-2048 和 AES-128 算法对 100 多种文件类型进行加密,并且在每个
存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt 的勒索提示文件。为了
防止受害系统通过卷影副本进行系统还原,Locky 同 CTB-Locker 一样,会调用 vssadmin.exe
删除全盘所有卷影副本,值得一提的是 Locky 同时也是第一款添加了中文提示的比特币勒
索软件。
当 Locky 感染主机后,会向 C&C 服务器发送被感染机器的主机信息,并从 C&C 服务
器下载 RSA 公钥,为文件加密做准备。Locky 使用卷信息的 GUID 的 md5 值作为感染主机
标识,构造连接字符串并将连接字符串加密,向 C&C 请求加密密钥,连接字符串为“id=
感染标识&act=命令&affid=未知&lang=语言版本&corp=未知&serv=未知&os=操作系统&sp=
补丁包&x64=是否为 64 位。”
图 17 加密前的连接信息
图 18 加密后的连接信息
启明星辰 ADLab 勒索软件专题报告
20
图 19 采用的加密算法
Locky 在连接 C&C 时还采用了域名生成算法,当该勒索软件与 C&C 进行通信时,会使
用 rdtsc 函数获取当前处理器时间,并与勒索软件内部某变量进行求余,通过该值来决定是
直接访问样本中的硬编码 IP 地址,还是使用算法生成的域名,通过加入域名生成算法,Locky
的 C&C 将更不容易识别。
图 20 IP 和域名生成逻辑
启明星辰 ADLab 勒索软件专题报告
21
域名生成算法(DGA)指的是编译到恶意软件可执行文件中,根据用户输入的值计算域名
的算法。可以将输入的值看作加密密钥或者算法的种子,如果不知道种子和算法,就无法预
测出恶意软件将会联系到哪个域名,该样本使用的种子为被感染机器的年月日以及硬编码
值。
图 21 DGA 域名生成算法
Locky 的控制命令如下:
命令 功能
stats&path 发送加密的文件统计信息,及感染路径
getkey 从服务器获取加密使用的 RSA 公钥
report&data 向服务器发送加密的文件列表
gettext&lang 根据 lang 获取用户使用的语言,提示用户如何解密
启明星辰 ADLab 勒索软件专题报告
22
3.4.5 Cerber
Cerber 因为其独特的赎金索要通知方式而著称。多数勒索软件通过文字讯息索要赎金,
而 Cerber 却独树一帜,通过语音通知受害人。但犯罪手法依然不变:支付赎金,然后恢复
文件。
对比其他勒索软件,Cerber 勒索软件增加了新的功能。首先,Cerber 通过电子邮件附件
的形式进入受害者计算机。一旦被打开,就像其他勒索软件一样加密文件并向受害者索要赎
金。同时,它会进一步确认计算机联网状态,并将受感染的计算机用于其他目的。例如,实
施分布式拒绝服务攻击或作为垃圾邮件程序使用。
Cerber 因为其独特的赎金索要通知方式而著称。多数勒索软件通过文字讯息索要赎金,
而 Cerber 却独树一帜,通过语音通知受害人。但犯罪手法依然不变:支付赎金,然后恢复
文件。
对比其他勒索软件,Cerber 勒索软件增加了新的功能。首先,Cerber 通过电子邮件附件
的形式进入受害者计算机。一旦被打开,就像其他勒索软件一样加密文件并向受害者索要赎
金。同时,它会进一步确认计算机联网状态,并将受感染的计算机用于其他目的。例如,实
施分布式拒绝服务攻击或作为垃圾邮件程序使用。
4. 抵御勒索软件攻击
到目前为止,仍然没有全面解决勒索软件威胁的解决方案。然而十年来,勒索软件已经
演变成繁荣的犯罪业务。勒索软件既瞄准家庭用户,也针对企业和组织。以下是有效引导企
业和组织针对勒索软件进行防御的关键步骤。
4.1. 构建防御:防止勒索软件进入系统
与任何形式的在线网络攻击一样,保护入口是关键。以下是防止勒索软件感染企业网络
的安全措施列表。
(1)定期备份数据
备份重要文件可将潜在损害降至最低,良好的备份策略可确保所有关键数据保存在安全
的位置,以便组织能够在数据丢失的情况下轻松恢复。
(2)部署和实施白名单式的终端防护措施,加强应用程序控制
启明星辰 ADLab 勒索软件专题报告
23
应用程序控制仅允许在系统上运行非恶意程序。该项措施需要 IT 管理员确定允许哪些
应用程序在组织的网络中运行和操作。
(3)正确的实施网络分段和网络安全域的划分
通过策略性地针对资产和资源进行分组,划分安全域。正确的网络分段可以防止攻击时
整个网络陷入瘫痪。对于用户的权限设置要遵循最小权限原则,使得犯罪分子更难获得管理
权限。
(4)教育用户识别有关社会工程学攻击的危险和标志
为用户提供良好的电子邮件和互联网安全实践培训,例如下载附件、点击网址或仅从受
信任的来源执行程序。
(5)及时应用操作系统和第三方供应商提供的软件补丁
未经修补的应用程序和服务器常会被用作将恶意软件(如勒索软件)推入系统的入口。
为了解决这个问题,应定期修补和更新软件,仔细检查修补过程,以确定隐患得以消除。
(6)确保安全软件定期更新并执行定期扫描
无论组织为保护网络而构建的防御有多强,网络罪犯只要找到一个破绽即可进入,所以
确保所有安全防护产品及时更新并执行定期扫描也同样重要。
4.2. 中断损伤:检测和阻止破坏产生
从意外点击恶意链接或将受感染文件下载到本地计算机,到显示赎金提示这整个过程可
能会在几分钟之内完成。这段时间至关重要,如果在这期间能够及时检测和阻断勒索软件,
就可以将其造成的损害降至最低。以下是一些需要注意的事项。
(1)从网络中识别并隔离受感染的主机
虽然勒索软件行为因为变种和家族不同而不尽相同,但它们都要完成如:建立与 C&C
服务器通信的重要过程,应尽早识别这一行为并将该行为阻断。
当出现异常行为的警报时,IT 管理员应尽快采取行动,尽可能隔离受感染的主机。一
旦识别出失陷主机,应立即断开该主机的网络连接,以防止感染到其他主机。
(2)建立实时事件响应小组
实时事件响应小组将监视组织中系统的活动,并接收网络中用户报告的异常通知。虽然
用户警报可能意味着加密过程已经开始,但响应小组可以对事件进行控制并防止感染扩散。
(3)鼓励用户向 IT 安全团队报告任何异常的系统行为
启明星辰 ADLab 勒索软件专题报告
24
IT 管理员应主动教育企业和组织中的网络用户,对所有可能感染的迹象保持警惕。在
勒索软件感染过程中,有一些隐藏的物理迹象可以在其完全执行之前显现出来,比如系统运
行速度明显减慢说明后台发生了额外的进程,意识到这些迹象可以使 IT 响应团队有足够的
时间控制情况。
4.3. 灾难恢复:从感染中恢复
以下是感染后可参考的处理措施:
(1)查找可用的解密工具
虽然并不是所有的勒索软件加密之后都能够进行解密,比如像 Locky 家族。但还是有
很多类型的勒索软件由于在设计和编码过程中出现的缺陷导致其很容易被破解。
为了帮助大家找到一个恢复数据的解决方案,而不需要向勒索软件的创建者支付赎金,
我们收集并整理了大量的勒索软件解密工具下载列表,列表我们会在后面提供。
在使用这些工具之前,建议先了解这些工具的工作原理,以确保找到最适合您的解决方
案。另外,请注意,解密器可能会因为勒索软件的更新而过时,强烈建议大家除了做好必要
的防御措施外,还需要加强对重要数据进行备份。
感染勒索软件后,赎金窗口一般会说明文件被哪种类型的勒索软件加密了,但有时候也
可能没有这方面的提示信息,如果需要确定加密软件类型可以借助以下两个站点:Crypto
Sheriff from No More Ransom、ID Ransomware from MalwareHunter Team。
解密工具列表如下,在使用这些工具之前,请阅读这些工具的特定条款和条件。
(声明:本列表仅为我们收集整理的解密工具列表,不包含全部解密工具,欢迎大家对本工具列表进行补
充和完善。)
Ransomware解密工具列表:
.777 ransomware decrypting tool
7even-HONE$T decrypting tool
.8lock8 ransomware decrypting tool + explanations
7ev3n decrypting tool
Agent.iih decrypting tool (decrypted by the Rakhni Decryptor)
Alma decrypting tool
Al-Namrood decrypting tool
Alpha decrypting tool
AlphaLocker decrypting tool
Apocalypse decrypting tool
ApocalypseVM decrypting tool + alternative
启明星辰 ADLab 勒索软件专题报告
25
Aura decrypting tool (decrypted by the Rakhni Decryptor)
AutoIt decrypting tool (decrypted by the Rannoh Decryptor)
Autolocky decrypting tool
Badblock decrypting tool + alternative 1
Bart decrypting tool
BitCryptor decrypting tool
BitStak decrypting tool
Chimera decrypting tool + alternative 1 + alternative 2
CoinVault decrypting tool
Cryaki decrypting tool (decrypted by the Rannoh Decryptor)
Crybola decrypting tool (decrypted by the Rannoh Decryptor)
CrypBoss decrypting tool
Crypren decrypting tool
Crypt38 decrypting tool
Crypt888 (see also Mircop) decrypting tool
CryptInfinite decrypting tool
CryptoDefense decrypting tool
CryptoHost (a.k.a. Manamecrypt) decrypting tool
Cryptokluchen decrypting tool (decrypted by the Rakhni Decryptor)
CryptoTorLocker decrypting tool
CryptXXX decrypting tool
CrySIS decrypting tool (decrypted by the Rakhni Decryptor – additional details)
CTB-Locker Web decrypting tool
CuteRansomware decrypting tool
DeCrypt Protect decrypting tool
Democry decrypting tool (decrypted by the Rakhni Decryptor)
DMA Locker decrypting tool + DMA2 Locker decoding tool
Fabiansomware decrypting tool
FenixLocker – decrypting tool
Fury decrypting tool (decrypted by the Rannoh Decryptor)
GhostCrypt decrypting tool
Globe / Purge decrypting tool + alternative
Gomasom decrypting tool
Harasom decrypting tool
HydraCrypt decrypting tool
Jigsaw/CryptoHit decrypting tool + alternative
KeRanger decrypting tool
KeyBTC decrypting tool
KimcilWare decrypting tool
Lamer decrypting tool (decrypted by the Rakhni Decryptor)
LeChiffre decrypting tool + alternative
Legion decrypting tool
Linux.Encoder decrypting tool
Lock Screen ransomware decrypting tool
启明星辰 ADLab 勒索软件专题报告
26
Locker decrypting tool
Lortok decrypting tool (decrypted by the Rakhni Decryptor)
MarsJoke decryption tool
Manamecrypt decrypting tool (a.k.a. CryptoHost)
Mircop decrypting tool + alternative
Merry Christmas / MRCR decryptor
Nanolocker decrypting tool
Nemucod decrypting tool + alternative
NMoreira ransomware decryption tool
ODCODC decrypting tool
Operation Global III Ransomware decrypting tool
Ozozalocker ranomware decryptor
PClock decrypting tool
Petya decrypting tool
Philadelphia decrypting tool
PizzaCrypts decrypting tool
Pletor decrypting tool (decrypted by the Rakhni Decryptor)
Pompous decrypting tool
PowerWare / PoshCoder decrypting tool
Radamant decrypting tool
Rakhni decrypting tool
Rannoh decrypting tool
Rector decrypting tool
Rotor decrypting tool (decrypted by the Rakhni Decryptor)
Scraper decrypting tool
Shade / Troldesh decrypting tool + alternative
SNSLocker decrypting tool
Stampado decrypting tool + alternative
SZFlocker decrypting tool
TeleCrypt decrypting tool (additional details)
TeslaCrypt decrypting tool + alternative 1 + alternative 2
TorrentLocker decrypting tool
Umbrecrypt decrypting tool
Wildfire decrypting tool + alternative
XORBAT decrypting tool
XORIST decrypting tool + alternative
(2)实施全面的数据备份和恢复计划
开发全面的备份和恢复计划,可确保组织的重要数据即使在数据丢失时也是完整的(不
限于勒索软件感染),通过实施计划组织将能够轻松地恢复正常运作并恢复运营。
(3)进行事件后的感染分析
启明星辰 ADLab 勒索软件专题报告
27
勒索攻击事件发生之后,我们需要针对事件进行详细的分析,比如对感染的深度和广度
进行调查。更重要的是要分析受感染用户是通过什么方式感染的,以确定应该从哪些方面入
手对问题进行解决,防止类似的事件再次发生。另外也要对勒索软件行为进行分析,确定勒
索软件攻击的指示器,并将这些分析结果用于改进检测防范和防御方法,提升整体安全防护
能力。
5. 参考文献:
(1)天际友盟威胁情报平台:https://redqueen.sec-un.com/
(2)《Ransomware-Wikipedia》:https://en.wikipedia.org/wiki/Ransomware
(3)《Ransomware-Definiti》:
https://www.trendmicro.com/vinfo/us/security/definition/ransomware
(4)《What is Ransomware and 15 Easy Steps To Keep Your System Protected》:
https://heimdalsecurity.com/blog/what-is-ransomware-protection/
(5)《20 种勒索软件,你了解多少?》:http://www.duorenwei.com/news/2711.html
(6)《家庭用户常见威胁及防御》
