在过去的几天里，我们的反勒索软件模块检测到一个新的恶意软件变种——KeyPass勒索软件。安全社区的其他人也注意到此勒索软件从8月份开始积极传播：

MalwareHunterTeam通知

传播模式

根据我们的信息，恶意软件通过虚假安装程序进行下载传播。

描述

Trojan样本使用C ++编写，在MS Visual Studio中编译。它是使用MFC，Boost和Crypto ++库开发的。PE头包含最近的编译日期。

PE 头中的编译日期

当在受害者的计算机上启动时，特洛伊木马将其可执行文件复制到％LocalAppData％并启动它。然后从原始位置自删除。

之后，它会生成自身进程的多个副本，并将加密密钥和受害者ID作为命令行参数传递。

命令行参数

KeyPass枚举可从受感染计算机访问的本地驱动器和网络共享，并搜索所有文件。它会跳过多个目录中的文件，这些目录的路径被硬编码到样本中。

例外路径列表

名为“!!!KEYPASS_DECRYPTION_INFO .txt”的赎金票据以及加密后的文件（新扩展名：.KEYPASS）保存在每个已处理的目录中。

赎金票据

加密方案

该木马的开发人员实施了一个非常简单的方案。恶意软件使用了对称算法AES-256的CFB模式，所有文件使用零IV和相同的32字节密钥。特洛伊木马在每个文件的开头加密最多0x500000字节（~5 MB）的数据。

实现数据加密的部分进程

启动后不久，KeyPass连接到其命令和控制（C＆C）服务器，接收当前受害者的加密密钥和感染ID。数据以JSON的形式通过纯HTTP传输。

如果C＆C无法访问（例如，如果受感染的计算机未连接到互联网或服务器已关闭），则特洛伊木马使用硬编码密钥和ID，这意味着在离线加密的情况下，受害者文件的解密将是不重要的。

GUI

从我们的角度来看，KeyPass木马最有趣的功能是能够采取“手动控制”。特洛伊木马包含一个默认隐藏的表单，但在按下键盘上的特殊按钮后可以显示该表单。此功能可能表明特洛伊木马背后的犯罪分子打算在手动攻击中使用它。

本马的GUI

此表单允许攻击者通过更改以下参数来自定义加密过程：

· 加密密钥

· 勒索票据的名称

· 勒索票据的内容

· 受害者ID

· 加密文件扩展名

· 加密中排除的路径列表

默认情况下从加密中排除的路径

通过按键显示GUI的伪代码

地理分布

IOC

901d893f665c6f9741aa940e5f275952 – Trojan-Ransom.Win32.Encoder.n
hxxp://cosonar.mcdir.ru/get.php