导语:MalwareHunterTeam 的安全研究人员发现了一款勒索软件变种 ——“FireCrypt”,它不仅具备一般勒索软件的特性,会将受感染的系统文件恶意加密,甚至还会试图利用受感染者机器,向其源码中硬编码的 URL 地址。

MalwareHunterTeam 的安全研究人员发现了一款勒索软件变种 ——“FireCrypt”,它不仅具备一般勒索软件的特性,会将受感染的系统文件恶意加密,甚至还会试图利用受感染者机器,向其源码中硬编码的 URL 地址,发起小规模的 DDoS 攻击。

firecrypt-ransomware-emerges-ddos-launching-capabilities.jpeg

 一般特性:勒索功能

一旦,恶意 EXE 文件被触发,FireCrypt 将杀死计算机的任务管理器( taskmgr.exe )并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名,加密完成后就会索要 500 美元赎金。FireCrypt 和勒索软件 “Deadly for a Good Purpose” 源代码很相似,都使用源代码的电子邮件和比特币地址,很有可能是“Deadly for a Good Purpose”勒索软件的升级版。

另类特性:DDoS 功能

FireCrypt 源码中含一个硬编码的 URL 地址,勒索软件会不断地连接该 URL 下载相应内容并存储在%Temp% 磁盘文件名下,同时命名为 [random_chars]-[connect_number].html 。

该 URL 为巴基斯坦电信管理局的官网地址,勒索软件作者称该功能为“ DDoSer”并希望借此发动 DDoS 攻击,不过感染设备至少要达到上万台才能达到攻击效果。

详细分析报告

以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的对该恶意软件的分析报告:

FireCrypt作为一个勒索软件构建套件 

恶意软件通常是从源码编译生成,或者使用自动化软件来生成,这类软件会采用某些特定的输入参数,进而在per-campaign的基础上输出一个恶意软件的有效载荷。后者在业内被称为恶意软件构建器,通常为命令行应用程序或基于GUI 的工具。

而 FireCrypt 勒索软件的开发者则使用的是命令行应用程序,在使用过程中,该应用程序会自动将 FireCrypt 的样本文件放在一起,允许他修改基本设置,而无需使用笨重的 IDE来重复编译源码了。

FireCrypt 的构建器名为 “BleedGreen”,允许 FireCrypt 开发者来生成一个独特的勒索软件可执行文件,给它自定义一个名字,并使用个性化的文件图标等。与其他勒索软件构建器相比,BleedGreen 是一个非常低端的构建器。因为一般而言,类似的构建器通常都具备一套更为完善的自定义选项,例如有比特币收付款地址、赎金要求值、电子邮件联系地址等等设置选项。

ransomware-builder-page-1.pngransomware-builder-page-2.pngransomware-builder-page-3.png

构建器“BleedGreen”的角色除了将生成的可执行文件 EXE伪装为 PDF 或 DOC 的图标外,还会对勒索软件的二进制文件做细微的改动,以便在每次编译时,都能生成一个具有不同哈希值的文件。

该技术经常被恶意软件开发人员用来创建所谓的“多态恶意软件”,旨在增加杀毒软件的查杀难度。根据MalwareHunterTeam 所言,“BleedGreen” 构建器是一款非常低端和基础的勒索软件构建器,所以它并不能实现真正意义上免杀。

然而这也告诉我们,FireCrypt 的开发者至少是具备一定的恶意软件开发经验,而不是一个只会从 GitHub 下载开源勒索软件的脚本小子。

FireCrypt 感染过程 

FireCrypt的感染过程取决于勒索软件的分发者能否成功诱使目标用户启动生成的 EXE 可执行文件。

一旦生成的恶意 EXE 文件被触发,那么FireCrypt 将杀死计算机的任务管理器(taskmgr.exe)进程,并使用 AES-256 加密算法加密 列表中的20 种文件类型。

所有被加密文件的原始文件名和扩展名都将附加“.firecrypt”后缀。例如,名为 photo.png 的文件,将被重命名为 photo.png.firecrypt。

1483848653539480.png

一旦文件加密过程结束,FireCrypt 就会在桌面弹框中警告用户按其要求支付相应的赎金。

1483848677320770.png

【FireCrypt勒索赎金弹框】

值得注意的是,该赎金弹框与去年 10月14日MalwareHunterTeam安全研究小组发现的一款勒索软件的赎金弹框几乎是一样的。

 

1483848696456533.jpeg

【Deadly for a Good Purpose勒索赎金弹框】

当2016年10月发现“Deadly for a Good Purpose”勒索软件时,它好像还处于开发阶段。因为只有进入到2017年,其源代码才会执行文件加密进程。

与FireCrypt相比,唯一不同的是,去年发现的那款勒索软件在赎金弹框顶部放置了一个类似 logo 的标志,而 FireCrypt 却移除了这个标志。但是,通过仔细检查“Deadly for a Good Purpose”的源代码,MalwareHunterTeam 发现这两款勒索软件使用了相同的电子邮件和比特币地址,这就意味着两者之间存在关联,FireCrypt 极有可能是“Deadly for a Good Purpose”勒索软件的升级版。

1483848750811092.jpeg

用垃圾文件填满你的硬盘驱动器的DDoS功能

索要赎金后, FireCrypt并不会终止其恶意行为。它的源代码中包含一个连接函数,该函数会持续不断地连接到远程的一个 URL 地址中,并下载一些垃圾文件,随后将其自动保存在你硬盘的 %Temp% 文件下,同时命名为 [random_chars]-[connect_number].html。

如果用户没有意识到这个函数,FireCrypt 将会在短时间内用垃圾文件迅速填满你的 %Temp% 文件夹。

当前该版本的 FireCrypt 勒索软件,将会从远程连接并下载 http://www.pta.gov.pk/index.php 上的内容,该 URL 为巴基斯坦电信管理局的官网地址。目前,我们无法使用勒索软件的构建器修改此 URL。

1483848775382773.png

FireCrypt 的开发者将此功能称为 “DDoSer”,他必须感染成千上万台的机器,才有可能对巴基斯坦电信管理局的官网发起 DDoS 攻击。此外,所有受感染的计算机,都必须处于连网状态,只有这样才能参与到其发起的 DDoS 的攻击。 

目标文件扩展名:

.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

与 FireCrypt 勒索软件相关的文件:

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable
%Desktop%\[random_chars]-READ_ME.html - Ransom Note
%AppData%\SysWin32\files.txt - List of Encrypted Files
%Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files
%Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack

与 FireCrypt 勒索软件相关的哈希值:

“BleedGreen”构建器(VirusTotal 扫描结果显示只有2/57的杀毒软件认为它是恶意软件):

SHA-256:e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d

一个 FireCrypt 勒索软件二进制示例(VirusTotal 扫描结果显示13/57的杀毒软件认为它是恶意软件):

SHA-256:d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f

电子邮件地址和付款联系人:

电子邮箱: [email protected]

截至目前,还没有安全公司发布解密工具来恢复这些被加密的文件。因此,一旦你感染了这种勒索软件,想要在短时间内恢复文件,则可能不得不按要求支付 500 美元的赎金来解锁。如果受害者不希望支付 500 美元赎金迅速解密文件,则需耐心等待解密工具公布并保留好被加密文件的副本。

源链接

Hacking more

...