导语:之前,我们曾报告(链接地址:https://www.alienvault.com/blogs/labs-research/samsam-ransomware-targeted-attacks-continue)过勒索软件SamSam向受害者索取高额赎金的事件,实际上,它并不是唯一一款敲诈令人乍舌的解密费用的勒索软件
之前,我们曾报告(链接地址:https://www.alienvault.com/blogs/labs-research/samsam-ransomware-targeted-attacks-continue)过勒索软件SamSam向受害者索取高额赎金的事件,实际上,它并不是唯一一款敲诈令人乍舌的解密费用的勒索软件。今年6月份,一个名为LockCrypt的勒索软件新变种被首次曝光,根据我们的检测数据来看,截止到10月份为止,感染该恶意软件的机器数量明显增加。并且,LockCrypt软件的代码与其他勒索软件的代码很少有重叠的地方。我们现有的证据表明,攻击者可能在重新投资自己的勒索软件之前,就提前采用了更加易于部署的“勒索软件即服务”。当前,在美国、英国、南非、印度和菲律宾等国家也相继发现了感染LockCrypt的小型企业。
初始感染
据受害者报告(链接地址:https://www.bleepingcomputer.com/forums/t/648384/lockcrypt-lock-support-topic-readmetxt/)称,感染的源头来自一台被RDP暴力破解攻陷的邮件服务器(链接地址:https://www.shodan.io/host/212.111.192.203)。之后,攻击者通过手动方式“杀死”了业务的关键进程,从而给公司造成了严重的损失。
我们发现,许多相关的活动(链接地址:https://otx.alienvault.com/indicator/ip/212.111.192.203)都源自下面的这个IP:
图1
攻击目标
据受害者称,攻击者要求为每个服务器支付0.5到1个比特币的赎金——这意味着,按照当时的折算价格来说,需要为每个服务器支付$5000以上的赎金。据另外一家企业报告称,为了赎回三台机器,攻击者敲诈的赎金接近19,000美元。
在早期的版本中,该勒索软件的勒赎信(链接地址:https://pastebin.com/WQbD4pjK)中都提供了一个BitCoin钱包地址。该地址在7月份收到了价值约2万美元的比特币。
图2 来自被感染机器的截图
攻击概述
图3 攻击者向目标机器提供的弹出窗口和勒索消息
LockCrypt会对文件进行加密,然后对文件进行重命名,生成的加密文件的扩展名为.lock。此外,为了实现持久性,该软件实现了自安装功能;同时,为了防止受害者自己恢复加密的文件,该勒索软件会删除文件的相应备份(卷影副本)。
之后,它会执行一个批处理文件来杀死所有非核心进程——这是一种非常主动的反杀毒软件和沙盒逃避方式。
图4
然后,LockCrypt会对受感染计算机的信息进行base64编码,并将其发送给位于伊朗境内的服务器。
勒索软件泛滥?
第一版(链接地址:https://www.hybrid-analysis.com/sample/714546c621a797743f0bce6a8843611860d3392a7f3fcff5cf661d0a6bffa78b?environmentId=100)的LockCrypt使用了一个曾经指向勒索软件Satan的电子邮件地址,实际上,Satan是一个简单易用的“勒索软件即服务”。
左:来自勒索软件Satan的勒赎信(链接地址:https://pastebin.com/YXdsTPND);右:来自勒索软件LockCrypt的勒赎信(链接地址:https://www.hybrid-analysis.com/sample/714546c621a797743f0bce6a8843611860d3392a7f3fcff5cf661d0a6bffa78b?environmentId=100)。两者的联系方式是完全一样的,都是用来联系如何交付赎金的(链接地址:https://www.bleepingcomputer.com/forums/t/632389/dharma-ransomware-filenameemailwalletceserarena-support-topic/page-76)。
许多人担心,像Satan这样的勒索软件生成服务,可能会导致攻击者将其犯罪收入重新投入到更复杂的攻击活动中去。这种推测不无道理,现实情况可能正如人们所担心的那样。
赶巧的是,AlienVault最近在接受BBC采访时,也讨论(链接地址:https://www.youtube.com/watch?v=kkvxMAA-oVo&feature=youtu.be&t=4m15s)了勒索软件Satan所带来的各种威胁。以下是生成勒索软件的具体过程:
图5 勒索软件Satan的生成页面
预防与检测
为了预防RDP暴力破解,需要做好以下几点:
· 针对RDP访问,强制使用复杂的密码和双因素身份验证
· 拒绝来自互联网的所有传入RDP连接
· 在登录失败超过一定次数之后,锁定相应的用户
我们在下面提供了相应的检测规则、Yara签名、文件哈希值、付款电子邮件和比特币地址。
检测类似的恶意行为的通用方式
虽然样本指标对于追踪当前这种恶意行为是非常有用的,但对于将来出现的恶意行为的检测效果则不太理想。下面我们展示如何利用USM Anywhere(链接地址:https://www.alienvault.com/products/usm-anywhere)来检测LockCrypt:
图6
用于文件检测的Yara规则
rule lockcrypt { $a = "taskkill /f /im bcn1.exe" nocase wide ascii $mz = { 4d 5a } condition: $mz at 0 and $a } rule lockcrypt_text { $a = "Set WhiteList=Microsoft.ActiveDirectory.WebServices.exe:cmd.exe" nocase wide ascii $b = "You have to pay for decryption in Bitcoins. The price dependson" nocase wide ascii condition: any of them } rule lockcrypt_installer_packer { strings: $a = "c:usersnachalnikdocumentsvisual" nocase wide ascii $b = "WshShell.Run chr(34) & "bcn1.exe" & Chr(34), 0" nocase wide ascii condition: any of them }
比特币钱包地址
17K5weJTPyc8Ktei8c58D2jSGbXZdWXQ2f
1Nez7W9ashFL4BA7vHuA5aoaad9XtqHKCF
电子邮件地址
[email protected][.]com
[email protected][.]com
[email protected][.]ch
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]ch
文件的哈希值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参与RDP暴力破解攻击的IP地址
您可以在这里查看与这次攻击相关的IP地址。
勒赎信
All your files have beenencrypted!
All your files have been encrypted due to a security problemwith your PC. If you want to restore them, write us to the e-mail support: [email protected] or [email protected]
Write this ID in the title of your message
In case of no answer in 24 hours write us to theese e-mails support: [email protected] or [email protected]
You have to pay for decryption in Bitcoins. The price dependson how fast you write to us. After payment we will send you thedecryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for freedecryption. The total size of files must be less than 10Mb (nonarchived), and files should not contain valuable information.
(databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. Youhave to register, click 'Buy bitcoins', and select the seller bypayment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginnersguide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software,it may cause permanent data loss.
Decryption of your files with the help of third parties maycause increased price (they add their fee to our) or you can becomea victim of a scam.
{{IDENTIFIER}}
Your ID
小结
勒索软件LockCrypt似乎没有特定的攻击目标——攻击者只是机会主义地利用RDP感染某些服务器。根据观察,在攻击过程中,他们会通过手动方式与系统进行交互,以获取最佳攻击效果,不过,由于他们勒索的赎金实在是太高了,可能导致某些企业无力承担。在文章的最后,我们给出了用于检测LockCrypt及类似恶意软件的详细信息。