勒索安全模式启动

启明星辰ADLab勒索软件专题报告启明星辰积极防御实验室启明星辰ADLab勒索软件专题报告目录1.
概述11.
1.
2016,勒索之年.
11.
2.
2017勒索攻击活动威胁情报信息速递.
12.
勒索软件的基本概念与原理.
52.
1.
什么是勒索软件.
52.
2.
勒索软件的分类.
52.
3.
勒索软件的特点.
62.
4.
勒索软件的原理.
72.
4.
1加密勒索软件运行原理.
72.
4.
2勒索软件传播方式.
82.
4.
3勒索软件感染方式.
93.
勒索软件的发展历史.
103.
1.
加密勒索软件.
113.
2.
不加密勒索软件.
123.
3.
移动勒索软件.
123.
4.
典型的勒索软件家族.
133.
4.
1CryptoLocker133.
4.
2CTB-Locker153.
4.
3TeslaCrypt163.
4.
4Locky183.
4.
5Cerber.
224.
抵御勒索软件攻击.
224.
1.
构建防御:防止勒索软件进入系统.
224.
2.
中断损伤:检测和阻止破坏产生.
234.
3.
灾难恢复:从感染中恢复.
245.
参考文献:27启明星辰ADLab勒索软件专题报告11.
概述1.
1.
2016,勒索之年纵观过去一年国内外网络勒索事件,可以看到,勒索软件在运行模式、加密技术等方面不断创新和改进,攻击目标从医疗、交通、政府、酒店等行业,开始出现向IOT、工控,以及公有云领域扩展的趋势.
另外,趋势科技2016年度安全报告显示,新勒索软件家族的数量仅2016年就增加了752%.
图1每月增加的勒索软件家族数量【图片来源:TrendMicro】1.
2.
2017勒索攻击活动威胁情报信息速递在刚刚过去的RSA2017的一个专题演讲中,勒索软件被定义为七大致命攻击之首,成为最受关注的安全威胁.
从去年开始,我们的威胁情报研究团队就一直与合作伙伴一起持续关注勒索软件的发展动向,以便及时为我们用户提供咨询和支持.
以下是我们威胁情报研究团队在过去的一个月观察到的勒索软件威胁情报.
(1)Cerber勒索软件瞄准国内某金融机构我们的威胁情报研究团队和合作伙伴于2017年2月20日左右观察到某金融机构遭到Cerber勒索软件的威胁,随即开始对这个勒索软件活动进行相应的分析.
分析发现该恶意团伙疑似2016年圣诞节开始针对个人实施勒索活动,2017年春节期间开始针对企业目标实启明星辰ADLab勒索软件专题报告2施勒索活动,并且该团伙的威胁活动仍然在继续.
该团伙使用网络钓鱼邮件手段,利用恶意Office携带宏代码投递Cerber恶意程序.
通过样本分析,我们推测该勒索软件团伙可能位于欧洲且使用俄语作为主要语言.
该勒索活动针对13种语言操作系统发起勒索攻击,涉及语言有:英文、阿拉伯文、中文、荷兰语、法语、德语、意大利语、日语、韩语、波兰语、葡萄牙语、西班牙语、土耳其语,上述语言的Windows操作系统可能会被攻击,而这个语言列表中没有俄罗斯语.
我们观察到此团伙的威胁活动针对行业有:金融银行业、IT及网络服务商、政府机构、医疗行业、能源电力等.
以下是该攻击活动的威胁情报指标:威胁源图2Cerber威胁指标分布图攻击目标Windows10Windows8Windows7WindowsXP传播方式网络钓鱼邮件等.
应对措施针对该攻击活动共观察到68条指示器,网关设备可对指示器进行阻断.
指示器启明星辰ADLab勒索软件专题报告3序号类型指示器描述动作国家1IP91.
121.
218.
116892UDPCerberServer阻断法国北部2域名qoee3cool.
topCerberSampleWebsite阻断意大利3IP91.
121.
218.
1596892UDPCerberServer阻断法国北部4IP91.
119.
40.
236892UDPCerberServer阻断奥地利5IP91.
121.
218.
2056892UDPCerberServer阻断法国北部6IP91.
121.
219.
766892UDPCerberServer阻断法国北部(2)Nymaim勒索软件瞄准国内某金融机构我们的威胁情报研究团队和合作伙伴于2017年3月10日左右观察到某金融机构遭到Nymaim勒索软件的威胁,随即开始针对该勒索活动进行相应的分析.
分析发现该恶意团伙从2016年11月开始发起Nymaim勒索攻击,并且该团伙的威胁活动还在继续.
该团伙使用网络钓鱼邮件手段,利用恶意Office文档携带宏代码投递Nymaim恶意程序.
通过样本分析我们推测出该勒索团伙位于欧洲地区且有可能是使用波兰语的威胁组织,使用鱼叉式钓鱼邮件方式、Office文件携带恶意VBA宏代码实施了Nymaim下载器并携带勒索软件功能的恶意活动.
此次威胁活动主要针对的目标是网络购物及金融行业的个人用户.
以下是该攻击活动的威胁情报指标:威胁源图3Nymaim威胁指标分布图启明星辰ADLab勒索软件专题报告4攻击目标Windows10Windows8Windows7WindowsXP传播方式网络钓鱼邮件等.
应对措施针对该攻击活动共观察到68条指示器,网关设备可对指示器进行阻断.
指示器序号类型指示器描述动作国家1域名amosirago.
conymaimC2doamin阻断美国爱荷华州2域名fedisogfnes.
comnymaimC2doamin阻断美国爱荷华州3域名fanekobani.
conymaimC2doamin阻断美国爱荷华州4IP104.
198.
56.
86nymaimC2阻断美国爱荷华州5IP176.
121.
202.
176nymaimC2阻断乌克兰6URLhttp://fesirunfve.
com/qkdn.
phpnymaimC2阻断美国俄勒冈州2016年被称为勒索之年,勒索软件攻击活动如火如荼,2017年这种攻击活动将继续猖獗,作为企业用户也好,个人用户也罢,都会成为勒索软件的攻击目标.
所以不管作为企业用户还是个人用户,了解什么是勒索软件,勒索软件如何传播和感染,勒索软件如何进行防范和缓解,一旦受感染如何进行有效应对,对于我们来讲都有非常重要的意义和作用.
启明星辰ADLab勒索软件专题报告52.
勒索软件的基本概念与原理2.
1.
什么是勒索软件勒索软件(Ransomware)是一个复杂的恶意软件,它利用垃圾邮件等各种方式感染受害者的电脑或者移动设备,通过锁定系统、加密文件等方式阻止受害者访问他/她的文件,并以此为条件勒索钱财.
对于加密型勒索软件,加密的对象包括文档、邮件、数据库、源代码、图片、压缩文件等多种形式.
赎金包括真实货币、比特币或其他虚拟货币.
一般来说,勒索软件编写者还会设定支付时限,赎金随时间推移上涨.
有时即使用户支付了赎金,仍然无法正常使用系统、还原被加密的文件.
2.
2.
勒索软件的分类目前为止有两种类型的勒索软件比较流行,具体情况如下:加密勒索软件,该类型结合了先进的加密算法,它利用加密技术加密系统文件,以阻止对系统文件的访问,并要求支付赎金,然后为受害者提供可以解密被阻止的内容的密钥.
例如CryptoLocker、Locky、CrytpoWall等.
图4加密勒索软件Locker勒索软件,它锁定受害者的操作系统,使用户无法访问桌面和任何应用程序或文件.
这种情况下文件不加密,但攻击者仍然要求赎金解锁受感染的计算机.
例如Police-ThemedRansomware和WinLocker等.
启明星辰ADLab勒索软件专题报告6图5Locker勒索软件与此类型相关的另一个版本是主引导记录(MBR)勒索软件.
MBR是PC硬盘驱动器的一部分,使操作系统能够启动.
当MBR勒索软件触发时,引导进程无法照常完成,并在屏幕上显示赎金注释.
例如Satana和PetyaRansomware.
2.
3.
勒索软件的特点在已知的已发现勒索软件中,勒索软件具有一些关键的特点,使他们与其他恶意软件区分开来.
当然随着新的勒索软件家族和新的勒索软件变种的不断出现,勒索软件的新功能也会不断增加.
具体情况如下:(1)有难以破解的加密;(2)有能力加密各种文件,从文档到图片、视频、音频文件和电脑上的其他东西;启明星辰ADLab勒索软件专题报告7(3)可以干扰您的文件名,所以很难知道哪些数据受到影响,这是用来混淆和强迫受害者支付赎金的社会工程技巧之一;(4)感染文件后,会在文件添加不同的扩展名,有时表示特定类型的勒索软件;(5)感染后,会显示一个图像或一个消息,以通知计算机用户其数据已被加密,必须支付一定金额才能进行解密;(6)要求用比特币支付,因为这种加密货币网络安全研究人员或执法机构很难跟踪;(7)通常,支付赎金有时间限制,超过最后期限意味着赎金将增加,也可能会伴随着数据被销毁和永远丢失;(8)使用一组复杂的逃避技术,躲避传统的杀毒软件的检测;(9)经常将受感染的PC加入到僵尸网络中,因此网络犯罪分子可以扩展其基础设施并为未来的攻击提供燃料;(10)可以传播到本地网络中连接的其他主机,造成进一步的损坏;(11)经常会导致数据泄露,勒索软件可以从受影响的计算机中提取数据,并将其发送到网络罪犯控制的服务器;(12)有时包括地理位置定位,意味着赎金注释被翻译成受害者的语言,以增加支付赎金的机会.
2.
4.
勒索软件的原理2.
4.
1加密勒索软件运行原理利用公钥密码术进行攻击的加密勒索软件最初是由哥伦比亚大学的AdamL.
Young和MotiYung发明和实现的,他们在1996年IEEE安全与隐私会议上提出了这一概念.
它被称为加密病毒勒索,在攻击者和受害者之间进行以下3轮协议:【攻击者→受害者】攻击者生成密钥并将相应的公钥置入恶意软件.
恶意软件被释放.
【受害者→攻击者】为了执行加密病毒勒索攻击,恶意软件生成随机对称密钥,并用其加密受害者的数据.
然后使用恶意软件中的公钥来加密对称密钥.
这被称为混合加密.
然后勒索软件将对称密钥和原始明文数据归零,以防止被恢复.
然后向用户发出包含不对称密文和如何支付赎金的消息.
受害者向攻击者发送不对称的密文和电子货币.
启明星辰ADLab勒索软件专题报告8【攻击者→受害者】攻击者接收付款,用其私钥解密非对称密文,并将对称秘钥发送给受害者.
受害者用所需的对称密钥解密加密的数据,从而完成加密病毒勒索的攻击.
对称密钥是随机生成的,所以解密密钥对其他受害者是没有任何作用的.
攻击者的私钥不会暴露给受害者,受害者只需要向攻击者发送一个非常小的密文(非对称密文).
勒索软件攻击通常使用木马来执行,通过例如下载的文件或者网络服务中的漏洞进入系统.
然后程序运行有效载荷,其以某种方式锁定系统或声称锁定系统,或不锁定系统(例如Scareware程序).
有效载荷可能会显示一个实体假警告,如扮演执法机构,假称该系统已用于非法活动,包含如色情和"盗版"的媒体内容.
2.
4.
2勒索软件传播方式勒索软件Ransomware可以通过任何可用的手段进行传播.
网络犯罪分子通常只寻最简单的传播方法.
以下是网络犯罪分子用来传播勒索软件最常用的方法:(1)包含恶意链接或的垃圾邮件;(2)易受攻击软件中的安全漏洞;(3)互联网流量重定向到恶意网站;(4)在其网页中注入恶意代码的合法网站;(5)驱动下载;(6)恶意广告活动;(7)短信(适用于针对移动设备的勒索软件);(8)僵尸网络;(9)自我传播(从一台感染的计算机传播到另一台);(10)勒索软件即服务的联盟计划(通过帮助进一步传播勒索软件获得一部分利润).
当然,勒索软件也会利用社会工程学的方法与以上的一些方法进行组合攻击,这些攻击日益精炼,网络犯罪分子从之前的错误中不断学习,升级他们的恶意代码,以使其功能更强大,更具侵扰性,更适合逃避检测.
例如,网络犯罪分子在互联网上找到易受攻击的网站,比如在全球范围内广泛部署的未及时更新的WordPress架构的网站,通过在网站中注入恶意Javascript代码,并以此为基础将潜在的受害者重定向到受感染的网站,从而使受害者感染勒索软件.
启明星辰ADLab勒索软件专题报告9图6勒索软件的传播方式2.
4.
3勒索软件感染方式虽然每个勒索软件版本的感染阶段略有不同,但是关键阶段基本如下图所示.
图7勒索软件的感染方式(1)最初,受害者收到包含恶意链接或恶意软件的电子邮件,或者源自恶意网站,其通过使用来自系统的易受攻击的软件漏洞来传递攻击代码,以使在受害者的PC上安装后门;(2)如果受害者单击链接或下载并打开,下载器(有效载荷)将放置在受影响的PC上;(3)下载器从由网络罪犯控制域名或C&C服务器的列表里的系统上下载勒索软件程序;(4)被联系的C&C服务器对请求进行响应;启明星辰ADLab勒索软件专题报告10(5)勒索软件开始加密整个硬盘的内容,几乎所有的个人文件和敏感信息,甚至包括PC上同步的存储在云账户中的数据,还可以加密连接在本地网络中的其他计算机上的数据;(6)在屏幕上弹出警告信息以及如何支付指令的解密秘钥.
图8CTB-Locker3.
勒索软件的发展历史历史上第一个已知的勒索软件出现在1989年(28年前).
是由约瑟夫波普开发的"AIDSTrojan",该木马在设计上存在一个缺陷,可以不需要支付赎金.
该勒索软件的有效载荷会隐藏硬盘驱动器上的文件,并仅加密文件名称,然后显示一条消息,声称用户使用的某个软件的许可证已过期.
要求用户向"PCCyborgCorporation"支付189美元,以便获得修复工具.
但实际上解密密钥可以从木马的代码中提取.
木马也被称为"PC机器人".
最终波普被宣布为精神上存在问题而不适合为他的行为进行宣判,但是他承诺将勒索软件的所有所得捐赠给艾滋病研究机构进行艾滋病的研究.
但是现在已经发生了巨大变化,随着网路犯罪的发展,以及比特币出现和加密算法的进步,使得勒索软件的开发技术日趋成熟,勒索软件攻击逐渐发展成为流行的安全威胁.
下图显示了恶意软件研究人员在过去10年发现的勒索软件家族信息.
启明星辰ADLab勒索软件专题报告11图9勒索软件家族信息[图片来源:CERT-RO]3.
1.
加密勒索软件如前文所述第一个已知的勒索软件是"AIDSTrojan",由约瑟夫波普在1989年开发,众所周知,该勒索软件有一个致命的设计缺陷,利用对称加密算法,并且密钥就包含在勒索软件样本中,解密工具可以很快恢复文件名称,但这开启了近三十年的勒索软件攻击.
1996年AdamL.
Young和MotiYung介绍了使用公钥密码术进行攻击的概念.
他们批评了失败的"AIDSTrojan"的缺陷,并通过实验验证了他们的概念.
使用RSA和TEA混合加密受害者数据,从此进入了公钥密码术勒索软件攻击时代.
勒索软件的实例在2005年5月变得比较突出,到2006年年中,勒索软件Gpcode、TROJ.
RANSOM.
A、Archiveus、Krotten、Cryzip和MayArchive开始使用更复杂的RSA加密方案.
2006年检测到的Gpcode.
AG使用660位RSA公钥加密.
2008年6月,被检测的Gpcode.
AK变种,使用1024位RSA密钥.
随着以CryptoLocker为代表的勒索软件在2013年底的崛起--使用比特币数字货币平台收受赎金.
2013年12月,ZDNet根据比特币交易信息估计,10月15日至12月18日,CryptoLocker犯罪运营集团从受感染用户处收受了约2700万美元.
随后CryptoLocker技术被广泛的复制,勒索软件进入繁荣的阶段.
2015年1月,据报道,出现了瞄准Linux服务器的勒索软件攻击事件.
启明星辰ADLab勒索软件专题报告123.
2.
不加密勒索软件2010年8月,俄罗斯当局逮捕了9名与勒索软件WinLock相关的人.
与以前的Gpcode不同,WinLock通过显示色情图片来限制对系统的访问,并要求用户发送付费短信(花费大约10美元)来接收可用于解锁其计算机的代码.
这个骗局袭击了俄罗斯和邻国的众多用户,勒索所得收入据说超过1600万美元.
2011年,另外一个勒索软件模仿Windows产品激活通知,并通知用户系统必须重新激活,由于"作为一个欺诈的受害者",提供了在线激活选项(如实际的Windows激活过程),但是实际上是虚假的,要求用户拨打六个国际号码中的一个以输入6位数代码.
2013年2月,基于Stamp.
EKexploit套件的勒索软件木马出现;该恶意软件是通过站点托管服务SourceForge和GitHub且声称提供名人的"假裸体图片"的网站分发.
2013年7月,一个OSX平台勒索软件浮出水面,该勒索软件通过启动一个网页,并显示出指责用户下载色情文件的消息进行勒索.
与基于Windows的同类产品不同,它不会阻止整个计算机,而只是利用Web浏览器本身的行为来阻止通过正常方式尝试关闭网页的行为.
3.
3.
移动勒索软件随着勒索软件在PC上日益流行,勒索软件数量也大大增加.
智能手机也受到勒索软件的影响,特别是Android设备.
(IOS设备由苹果公司提供保护,他们限制哪些应用程序可以放到IOSAppStore.
)与计算机上的勒索软件不同,计算机平台上加密勒索软件比非加密勒索软件更加普遍,移动设备上几乎没有加密勒索软件,因为移动平台上大多数关键数据存储在云中.
数据会在云存储中备份,不需要支付赎金也一样能够恢复.
为此,非加密勒索软件在移动平台上更受欢迎.
移动勒索软件通常通过在第三方商店中假冒合法应用程序进行传播,它们也可以通过其他方式传播,例如受感染的电子邮件和不安全的网站.
它们通过一些技术手段阻止用户正常使用手机.
这种类型的勒索软件在移动设备上更加有效,因为硬盘驱动器通常被焊接在主板上,在PC上可以简单地从受感染的PC拔出硬盘驱动器并使用另一个PC来检索其数据.
为了保护手机免受勒索软件的攻击,可以定期扫描手机上的恶意软件,避免可疑的链接和应用程序.
启明星辰ADLab勒索软件专题报告133.
4.
典型的勒索软件家族3.
4.
1CryptoLocker图10CryptoLocker感染分布图2013年9月是勒索软件历史的关键时期,因为CryptoLocker诞生了.
CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件形式感染用户的勒索软件.
CryptoLocker感染快速蔓延,因为威胁利用了现有的GameOverZeus僵尸网络基础设施.
在2014年的OperationTovar终止了GameOverZeusTrojan和CryptoLocker活动.
CryptoLocker利用AES-256来加密特定扩展名的文件,然后使用C&C服务器生成的2048位RSA秘钥来加密AES-256位密钥.
攻击者威胁称如果在三天内没有收到钱他们将删除私钥.
CryptoLocker感染在2013年10月达到峰值,当时它月感染大约15万台计算机.
当用户感染CryptoLocker时,CryptoLocker首先会将自身以随机名称保存到%AppData%或%LocalAppData%路径,然后创建以下注册表键实现自启动:KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"CryptoLocker"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"*CryptoLocker"启明星辰ADLab勒索软件专题报告14KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"CryptoLocker_"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"*CryptoLocker_CryptoLocker通过劫持扩展名exe的执行程序来使用户运行可执行程序时先执行"C:\Windows\SYsWOW64\cmd.
exe"/C"C:\Windows\Sysnative\vssadmin.
exe"DeleteShadows/All/Quiet来删除卷副本.
CryptoLocker在加密用户文件前首先会构造请求连接远程服务器,其中请求格式为version=&id=&name=&group=&lid=,该请求中包括了CryptoLocker的版本、ID、用户名及系统语言.
CryptoLocker的C&C采用了硬编码的IP地址及DGA算法生成的域名,首先CryptoLocker会尝试用硬编码的IP地址进行连接,如果连接不成功,则使用DGA算法生成的域名进行连接.
当CryptoLocker成功连接到C&C后,会从C&C接收RSA公钥,并将该公钥保存在注册表HKEY_CURRENT_USER\Software\CryptoLocker下,该注册表键还会保存CryptoLocker的版本及提示信息.
然后CryptoLocker生成一个AES密钥用来加密硬盘中以*.
odt,*.
ods,*.
odp,*.
odm,*.
odc,*.
odb,*.
doc,*.
docx,*.
docm,*.
wps,*.
xls,*.
xlsx,*.
xlsm,*.
xlsb,*.
xlk,*.
ppt,*.
pptx,*.
pptm,*.
mdb,*.
accdb,*.
pst,*.
dwg,*.
dxf,*.
dxg,*.
wpd,*.
rtf,*.
wb2,*.
mdf,*.
dbf,*.
psd,*.
pdd,*.
pdf,*.
eps,*.
ai,*.
indd,*.
cdr,*.
jpg,*.
jpe,*.
jpg,*.
dng,*.
3fr,*.
arw,*.
srf,*.
sr2,*.
bay,*.
crw,*.
cr2,*.
dcr,*.
kdc,*.
erf,*.
mef,*.
mrw,*.
nef,*.
nrw,*.
orf,*.
raf,*.
raw,*.
rwl,*.
rw2,*.
r3d,*.
ptx,*.
pef,*.
srw,*.
x3f,*.
der,*.
cer,*.
crt,*.
pem,*.
pfx,*.
p12,*.
p7b,*.
p7c.
为扩展名的文件,加密完成后CryptoLocker会利用从服务器获取到的RSA公钥加密AES密钥,并把加密结果保存到被加密文件的头部.
CryptoLocker会将加密的文件路径及名称存储在注册表键HKEY_CURRENT_USER\Software\CryptoLocker\Files下.
启明星辰ADLab勒索软件专题报告15图11CryptoLocker月感染量3.
4.
2CTB-Locker与过去其他变体不同,CTB-Locker直接与Tor中C2服务器通信,而不是具有多层基础设施.
CTB-Locker在运行时会一直保持静默状态,直到用户的所有文件被加密,并通过Tor将密钥相关数据上传到远程服务器后,才会向用户显示警告,用户必须支付比特币才能获得解密密钥.
从采用的技术上来说,CTB-Locker会通过创建计划任务,来实现自启动,而且该勒索软件在运行过程中会判断vboxtray.
exe、vboxservice.
exe、vmtoolsd.
exe等虚拟机进程是否存在,来阻碍分析.
CTB-Locker的加密目标包括上百种文件,其中有pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx.
CTB-Locker会将待加密的文件以后缀名.
tmp移动到临时目录下面,然后根据文件的时间和系统时间等,构造缓冲区,并计算该缓冲区的SHA256值,以该值作为会话私钥,使用启明星辰ADLab勒索软件专题报告16ECDH算法产生一个会话公钥,再与配置文件中的主公钥使用ECDH算法生成会话共享密钥,对会话共享密钥计算SHA256并将这个值作为AES加密的key,对文件进行加密.
图12CTB-Locker勒索软件3.
4.
3TeslaCryptTeslaCrypt也出现在2015年,这可能是持续威胁,因为开发人员制作出了四个版本.
它首先通过Angler漏洞利用工具包来分发,之后再通过其他方式来分发.
TeslaCrypt利用AES-256来加密文件,使用RSA-4096来加密AES私钥.
Tor内的C2域被用于支付和分发.
在其基础设施内包含多层,包括代理服务器.
TeslaCrypt本身非常先进,其包含的功能可允许在受害者机器保持灵活性和持久性.
TeslaCrypt在原有勒索软件技术上加入了反调试、反沙箱技术以及防篡改保护.
TeslaCrypt通过检测URLReader2接口来检测当前是否运行在沙箱中,如果被检测到在沙箱环境中运行,则退出进程.
启明星辰ADLab勒索软件专题报告17图13检测代码每200毫秒,TeslaCrypt会枚举所有正在运行的进程,查找当前系统中是否存在taskmgr、procexp、regedit、msconfig、cmd进程,如果发现以上进程,则使用TerminateProcess函数终止.
TeslaCrypt加密的文件格式如下:图14TeslaCrypt加密的文件格式列表Tesla在运行过程中会将C&C解密,构造连接字符串,尝试连接,其中连接字符串为Sub=(命令)&dh=(master_key_pub)&addr=%s&size=(未知)&version=(病毒版本信息)&OS=(操作系统信息)&ID=(硬编码,未知)&inst_id=(随机值system.
bin文件中的前8字节).
启明星辰ADLab勒索软件专题报告18图15C&C列表3.
4.
4LockyLocky是迄今为止最流行且最大胆的勒索软件家族之一,该勒索软件于2016年2月被发现,Locky通过网络钓鱼活动及利用Dridex基础设施快速传播.
Locky也因为感染美国多个地区的医院而登上新闻头条.
攻击者发现受感染医疗机构很快就支付赎金,这一发现导致包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播.
截止2016年4月,Locky的感染活动已经席卷全球,2016年4月Locky的地理位置分布情况如下所示:启明星辰ADLab勒索软件专题报告19图162016年4月Locky感染分布图【图片来源:securelist】Locky通过使用RSA-2048和AES-128算法对100多种文件类型进行加密,并且在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.
txt的勒索提示文件.
为了防止受害系统通过卷影副本进行系统还原,Locky同CTB-Locker一样,会调用vssadmin.
exe删除全盘所有卷影副本,值得一提的是Locky同时也是第一款添加了中文提示的比特币勒索软件.
当Locky感染主机后,会向C&C服务器发送被感染机器的主机信息,并从C&C服务器下载RSA公钥,为文件加密做准备.
Locky使用卷信息的GUID的md5值作为感染主机标识,构造连接字符串并将连接字符串加密,向C&C请求加密密钥,连接字符串为"id=感染标识&act=命令&affid=未知&lang=语言版本&corp=未知&serv=未知&os=操作系统&sp=补丁包&x64=是否为64位.
"图17加密前的连接信息图18加密后的连接信息启明星辰ADLab勒索软件专题报告20图19采用的加密算法Locky在连接C&C时还采用了域名生成算法,当该勒索软件与C&C进行通信时,会使用rdtsc函数获取当前处理器时间,并与勒索软件内部某变量进行求余,通过该值来决定是直接访问样本中的硬编码IP地址,还是使用算法生成的域名,通过加入域名生成算法,Locky的C&C将更不容易识别.
图20IP和域名生成逻辑启明星辰ADLab勒索软件专题报告21域名生成算法(DGA)指的是编译到恶意软件可执行文件中,根据用户输入的值计算域名的算法.
可以将输入的值看作加密密钥或者算法的种子,如果不知道种子和算法,就无法预测出恶意软件将会联系到哪个域名,该样本使用的种子为被感染机器的年月日以及硬编码值.
图21DGA域名生成算法Locky的控制命令如下:命令功能stats&path发送加密的文件统计信息,及感染路径getkey从服务器获取加密使用的RSA公钥report&data向服务器发送加密的文件列表gettext&lang根据lang获取用户使用的语言,提示用户如何解密启明星辰ADLab勒索软件专题报告223.
4.
5CerberCerber因为其独特的赎金索要通知方式而著称.
多数勒索软件通过文字讯息索要赎金,而Cerber却独树一帜,通过语音通知受害人.
但犯罪手法依然不变:支付赎金,然后恢复文件.
对比其他勒索软件,Cerber勒索软件增加了新的功能.
首先,Cerber通过电子邮件的形式进入受害者计算机.
一旦被打开,就像其他勒索软件一样加密文件并向受害者索要赎金.
同时,它会进一步确认计算机联网状态,并将受感染的计算机用于其他目的.
例如,实施分布式拒绝服务攻击或作为垃圾邮件程序使用.
Cerber因为其独特的赎金索要通知方式而著称.
多数勒索软件通过文字讯息索要赎金,而Cerber却独树一帜,通过语音通知受害人.
但犯罪手法依然不变:支付赎金,然后恢复文件.
对比其他勒索软件,Cerber勒索软件增加了新的功能.
首先,Cerber通过电子邮件的形式进入受害者计算机.
一旦被打开,就像其他勒索软件一样加密文件并向受害者索要赎金.
同时,它会进一步确认计算机联网状态,并将受感染的计算机用于其他目的.
例如,实施分布式拒绝服务攻击或作为垃圾邮件程序使用.
4.
抵御勒索软件攻击到目前为止,仍然没有全面解决勒索软件威胁的解决方案.
然而十年来,勒索软件已经演变成繁荣的犯罪业务.
勒索软件既瞄准家庭用户,也针对企业和组织.
以下是有效引导企业和组织针对勒索软件进行防御的关键步骤.
4.
1.
构建防御:防止勒索软件进入系统与任何形式的在线网络攻击一样,保护入口是关键.
以下是防止勒索软件感染企业网络的安全措施列表.
(1)定期备份数据备份重要文件可将潜在损害降至最低,良好的备份策略可确保所有关键数据保存在安全的位置,以便组织能够在数据丢失的情况下轻松恢复.
(2)部署和实施白名单式的终端防护措施,加强应用程序控制启明星辰ADLab勒索软件专题报告23应用程序控制仅允许在系统上运行非恶意程序.
该项措施需要IT管理员确定允许哪些应用程序在组织的网络中运行和操作.
(3)正确的实施网络分段和网络安全域的划分通过策略性地针对资产和资源进行分组,划分安全域.
正确的网络分段可以防止攻击时整个网络陷入瘫痪.
对于用户的权限设置要遵循最小权限原则,使得犯罪分子更难获得管理权限.
(4)教育用户识别有关社会工程学攻击的危险和标志为用户提供良好的电子邮件和互联网安全实践培训,例如下载、点击网址或仅从受信任的来源执行程序.
(5)及时应用操作系统和第三方供应商提供的软件补丁未经修补的应用程序和服务器常会被用作将恶意软件(如勒索软件)推入系统的入口.
为了解决这个问题,应定期修补和更新软件,仔细检查修补过程,以确定隐患得以消除.
(6)确保安全软件定期更新并执行定期扫描无论组织为保护网络而构建的防御有多强,网络罪犯只要找到一个破绽即可进入,所以确保所有安全防护产品及时更新并执行定期扫描也同样重要.
4.
2.
中断损伤:检测和阻止破坏产生从意外点击恶意链接或将受感染文件下载到本地计算机,到显示赎金提示这整个过程可能会在几分钟之内完成.
这段时间至关重要,如果在这期间能够及时检测和阻断勒索软件,就可以将其造成的损害降至最低.
以下是一些需要注意的事项.
(1)从网络中识别并隔离受感染的主机虽然勒索软件行为因为变种和家族不同而不尽相同,但它们都要完成如:建立与C&C服务器通信的重要过程,应尽早识别这一行为并将该行为阻断.
当出现异常行为的警报时,IT管理员应尽快采取行动,尽可能隔离受感染的主机.
一旦识别出失陷主机,应立即断开该主机的网络连接,以防止感染到其他主机.
(2)建立实时事件响应小组实时事件响应小组将监视组织中系统的活动,并接收网络中用户报告的异常通知.
虽然用户警报可能意味着加密过程已经开始,但响应小组可以对事件进行控制并防止感染扩散.
(3)鼓励用户向IT安全团队报告任何异常的系统行为启明星辰ADLab勒索软件专题报告24IT管理员应主动教育企业和组织中的网络用户,对所有可能感染的迹象保持警惕.
在勒索软件感染过程中,有一些隐藏的物理迹象可以在其完全执行之前显现出来,比如系统运行速度明显减慢说明后台发生了额外的进程,意识到这些迹象可以使IT响应团队有足够的时间控制情况.
4.
3.
灾难恢复:从感染中恢复以下是感染后可参考的处理措施:(1)查找可用的解密工具虽然并不是所有的勒索软件加密之后都能够进行解密,比如像Locky家族.
但还是有很多类型的勒索软件由于在设计和编码过程中出现的缺陷导致其很容易被破解.
为了帮助大家找到一个恢复数据的解决方案,而不需要向勒索软件的创建者支付赎金,我们收集并整理了大量的勒索软件解密工具下载列表,列表我们会在后面提供.
在使用这些工具之前,建议先了解这些工具的工作原理,以确保找到最适合您的解决方案.
另外,请注意,解密器可能会因为勒索软件的更新而过时,强烈建议大家除了做好必要的防御措施外,还需要加强对重要数据进行备份.
感染勒索软件后,赎金窗口一般会说明文件被哪种类型的勒索软件加密了,但有时候也可能没有这方面的提示信息,如果需要确定加密软件类型可以借助以下两个站点:CryptoSherifffromNoMoreRansom、IDRansomwarefromMalwareHunterTeam.
解密工具列表如下,在使用这些工具之前,请阅读这些工具的特定条款和条件.
(声明:本列表仅为我们收集整理的解密工具列表,不包含全部解密工具,欢迎大家对本工具列表进行补充和完善.
)Ransomware解密工具列表:.
777ransomwaredecryptingtool7even-HONE$Tdecryptingtool.
8lock8ransomwaredecryptingtool+explanations7ev3ndecryptingtoolAgent.
iihdecryptingtool(decryptedbytheRakhniDecryptor)AlmadecryptingtoolAl-NamrooddecryptingtoolAlphadecryptingtoolAlphaLockerdecryptingtoolApocalypsedecryptingtoolApocalypseVMdecryptingtool+alternative启明星辰ADLab勒索软件专题报告25Auradecryptingtool(decryptedbytheRakhniDecryptor)AutoItdecryptingtool(decryptedbytheRannohDecryptor)AutolockydecryptingtoolBadblockdecryptingtool+alternative1BartdecryptingtoolBitCryptordecryptingtoolBitStakdecryptingtoolChimeradecryptingtool+alternative1+alternative2CoinVaultdecryptingtoolCryakidecryptingtool(decryptedbytheRannohDecryptor)Cryboladecryptingtool(decryptedbytheRannohDecryptor)CrypBossdecryptingtoolCryprendecryptingtoolCrypt38decryptingtoolCrypt888(seealsoMircop)decryptingtoolCryptInfinitedecryptingtoolCryptoDefensedecryptingtoolCryptoHost(a.
k.
a.
Manamecrypt)decryptingtoolCryptokluchendecryptingtool(decryptedbytheRakhniDecryptor)CryptoTorLockerdecryptingtoolCryptXXXdecryptingtoolCrySISdecryptingtool(decryptedbytheRakhniDecryptor–additionaldetails)CTB-LockerWebdecryptingtoolCuteRansomwaredecryptingtoolDeCryptProtectdecryptingtoolDemocrydecryptingtool(decryptedbytheRakhniDecryptor)DMALockerdecryptingtool+DMA2LockerdecodingtoolFabiansomwaredecryptingtoolFenixLocker–decryptingtoolFurydecryptingtool(decryptedbytheRannohDecryptor)GhostCryptdecryptingtoolGlobe/Purgedecryptingtool+alternativeGomasomdecryptingtoolHarasomdecryptingtoolHydraCryptdecryptingtoolJigsaw/CryptoHitdecryptingtool+alternativeKeRangerdecryptingtoolKeyBTCdecryptingtoolKimcilWaredecryptingtoolLamerdecryptingtool(decryptedbytheRakhniDecryptor)LeChiffredecryptingtool+alternativeLegiondecryptingtoolLinux.
EncoderdecryptingtoolLockScreenransomwaredecryptingtool启明星辰ADLab勒索软件专题报告26LockerdecryptingtoolLortokdecryptingtool(decryptedbytheRakhniDecryptor)MarsJokedecryptiontoolManamecryptdecryptingtool(a.
k.
a.
CryptoHost)Mircopdecryptingtool+alternativeMerryChristmas/MRCRdecryptorNanolockerdecryptingtoolNemucoddecryptingtool+alternativeNMoreiraransomwaredecryptiontoolODCODCdecryptingtoolOperationGlobalIIIRansomwaredecryptingtoolOzozalockerranomwaredecryptorPClockdecryptingtoolPetyadecryptingtoolPhiladelphiadecryptingtoolPizzaCryptsdecryptingtoolPletordecryptingtool(decryptedbytheRakhniDecryptor)PompousdecryptingtoolPowerWare/PoshCoderdecryptingtoolRadamantdecryptingtoolRakhnidecryptingtoolRannohdecryptingtoolRectordecryptingtoolRotordecryptingtool(decryptedbytheRakhniDecryptor)ScraperdecryptingtoolShade/Troldeshdecryptingtool+alternativeSNSLockerdecryptingtoolStampadodecryptingtool+alternativeSZFlockerdecryptingtoolTeleCryptdecryptingtool(additionaldetails)TeslaCryptdecryptingtool+alternative1+alternative2TorrentLockerdecryptingtoolUmbrecryptdecryptingtoolWildfiredecryptingtool+alternativeXORBATdecryptingtoolXORISTdecryptingtool+alternative(2)实施全面的数据备份和恢复计划开发全面的备份和恢复计划,可确保组织的重要数据即使在数据丢失时也是完整的(不限于勒索软件感染),通过实施计划组织将能够轻松地恢复正常运作并恢复运营.
(3)进行事件后的感染分析启明星辰ADLab勒索软件专题报告27勒索攻击事件发生之后,我们需要针对事件进行详细的分析,比如对感染的深度和广度进行调查.
更重要的是要分析受感染用户是通过什么方式感染的,以确定应该从哪些方面入手对问题进行解决,防止类似的事件再次发生.
另外也要对勒索软件行为进行分析,确定勒索软件攻击的指示器,并将这些分析结果用于改进检测防范和防御方法,提升整体安全防护能力.
5.
参考文献:(1)天际友盟威胁情报平台:https://redqueen.
sec-un.
com/(2)《Ransomware-Wikipedia》:https://en.
wikipedia.
org/wiki/Ransomware(3)《Ransomware-Definiti》:https://www.
trendmicro.
com/vinfo/us/security/definition/ransomware(4)《WhatisRansomwareand15EasyStepsToKeepYourSystemProtected》:https://heimdalsecurity.
com/blog/what-is-ransomware-protection/(5)《20种勒索软件,你了解多少》:http://www.
duorenwei.
com/news/2711.
html(6)《家庭用户常见威胁及防御》