McAfee实验室最近发现了一种新的勒索软件变种，它依赖于开源程序GNU隐私保护（GNU Privacy Guard ）（GnuPG）来加密数据。GnuPG是一种混合加密软件程序，它使用传统的速度对称密钥加密技术和公钥加密技术相结合，以简化安全密钥交换。

尽管使用GnuPG加密文件的勒索软件并不独特，但也并不常见。

我们分析了恶意软件GPGQwerty的以下SHA-256散列：

· 2762a7eadb782d8a404ad033144954384be3ed11e9714c468c99f0d3df644ef5

· 39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502

· f5cd435ea9a1c9b7ec374ccbd08cc6c4ea866bcdc438ea8f1523251966c6e88b

我们发现这些散列需要许多支持文件才能成功执行。这三个文件本身不会加密任何东西。GPGQwerty由一个文件包组成，文件包里的文件同时运行来加密受害者的机器。文件包包含十个文件：

该勒索软件最早出现在三月初。通常，这种类型的恶意软件通过垃圾邮件、恶意附件、漏洞或欺诈性下载传播。在hxxp://62.152.47.251:8000/w/find.exe野外发现了二进制39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502;它可能是“路过式”下载策略的一部分，或者是托管在合法网站上。

Key.bat、run.js和 find.exe是在加密过程中扮演重要角色的三个文件。感染过程遵循下面这条路径：

分析

二进制find.exe文件有8个部分，其its .bss部分原始大小为零。

它还有一个不寻常的时间和日期戳：

该文件包含恶意线程本地存储（TLS）回调函数作为反分析技巧。通常，这种技术允许可执行文件包含恶意的TLS回调函数，以便在可执行的头文件中，在AddressOfEntryPoint字段（二进制的正常执行点）之前运行。

该操作首先执行批处理文件key.bat。它导入密钥并通过执行JavaScript run.js在受害者机器上启动find.exe。batch和JavaScript文件的内容如下面的代码片段所示：

该勒索软件使用命令行工具taskkill来终止一些选定的正在运行的任务。该命令可以通过使用进程ID或图像文件名选择终止任务或进程。在下面的代码片段中，我们看到该命令通过使用图像文件名称强制终止某些进程。

勒索软件尝试使用GnuPG（gpg.exe）加密数据。该恶意软件会将扩展名.qwerty附加到加密文件：

该恶意软件用shred.exe覆盖原始文件：

在加密之后，勒索软件会提供一个唯一的ID来识别每个受害者。它还创建一个.txt文件，该文件声明计算机上的所有文件都已被锁定，受害者必须付费才能解密文件。

GPGQwerty使用Windows效用del删除回收站：

勒索软件使用“vssadmin.exe Delete Shadows /All /Quiet,”命令，悄悄地删除了来自目标系统的卷影备份（vssadmin.exe,、wmic.exe），从而防止受害者恢复加密的文件。它还会删除备份目录（wbadmin.exe），并在启动时禁用自动修复（bcdedit.exe）：

Yara规则检测到GPGQwerty:

rule crime_ransomware_windows_GPGQwerty: crime_ransomware_windows_GPGQwerty
{
meta:
author = “McAfee Labs”
description = “Detect GPGQwerty ransomware”
strings:
$a = “gpg.exe –recipient qwerty  -o”
$b = “%s%s.%d.qwerty”
$c = “del /Q /F /S %s$recycle.bin”
$d = “[email protected]”
condition:
          all of them
}

McAfee建议所有用户尽量使自己的反恶意软件产品保持最新。McAfee的产品通过DAT版本8826及比其更新版本，检测到该恶意软件是Ransomware-GKF！〔部分散列〕。欲了解更多关于勒索软件的问题，请访问NoMoreRansom.org。