安全中心 > 安全热点分析 > AES-In无文件勒索软件分析报告

AES-In无文件勒索软件分析报告

时间:2017年 06月 22日   作者:腾讯反病毒实验室

 

背景:

由于比特币的流行,最近一两年的时间勒索软件已经成为目前主要的风险威胁。勒索软件由于技术门槛低,成本小,风险低,等特点,得到广大网络犯罪团伙的青睐。但是由于勒索软件程序文件经常会被安全软件查杀,使作案成功率不是高。最近分析人员发现一种勒索软件,运行成功后会删除自己的程序文件, 只存活与内存中。同过高强度的加密算法,加密用户机器上的数据文件,实施敲诈。

样本分析:

最近腾讯反病毒实验室截获到一个 常驻内存敲诈者样本,样本运行后,会运行一个svchost.exe 进程, 将自己整体注入到svchost.exe 里运行。然后删除样本自身的实体文件。该软件比较保守并没有直接给出比特币汇款地址, 而是给出了几个邮箱, bigMsg 等联系方式。

 

运行流程

 

勒索软件为了能够顺利加密用户机器上的重要数据文件, 尝试关闭了228 个常见的服务 例如数据库, 邮件, 备份服务等。

加密方式:

勒索软件利用windows api  CryptGenRandom  为每一个要加密的数据文件生成随机1024位的加密key(80H字节),  然后利用 AES 算法加密数据文件, 这个生成的随机key 再用RSA 加密。然后将被加密文件名和key 写到被加密文件尾部。利用Windows api  MoveFileEx 将被加密文件改名(增加扩展名 .aes_ni_0day)。

这里勒索软件是直接将加密数据回写到被感染文件(mapping 方式), 是无法通过数据恢复相关软件找回原始数据的。

感染网络行为:

注入svchost 进程后, 勒索软件会首先尝试访问tor 网络, 通过https 访问一组勒索软件服务器 。拉取配置升级相关信息。多为 德 , 美 服务器。

枚举遍历当前局域网段,尝试访问 139 端口的共享服务, 试图通过windows 网络共享文件服务, 加密感染具有共享写权限的共享文件。

 

隐匿行为:

勒索软件会创建并运行一个bat 文件, 利用 wevtuil.exe 来删除系统日志:

利用 vssadmin.exe 系统工具 删除所有系统备份还原点。

传播范围:

调查显示,AES-In ransomware最初以中东国家为目标,但从上月开始, 这一威胁已经蔓延到加拿大、中国大陆、德国,意大利、日本、韩国、俄罗斯、中国台湾和美国。

防范方法:

由于个人用户, 企业用户, 都是勒索软件的攻击目标。防范此类风险, 一定要安装腾讯电脑管家 这样的安全防护软件之外。企业的系统管理员, 和普通用户, 也应该提高警惕

采取下列方法进行防范:

限制用户对系统的读写权限:如果将所有权限随意授予给每个用户,会使网络共享存在较大风险,因此需要授予每个用户不同的权限。是比较安全的策略。

 定期更新系统及网络: 始终保持系统、软件和其他程序的更新。

定期进行重要数据备份: 对所有重要的数据文件和重要文档进行定期备份,将数据备份到离线设备上。

培养安全意识:

不要打开陌生的邮件, 文档, 和未知的链接, 及时安装腾讯电脑管家开启鹰眼第二代反病毒自研引擎, 让电脑管家为广大用户个人安全保驾护航!

 

相关热点分析