虽然勒索软件在今天的威胁形势中明显受到限制，但它仍然是网络犯罪的主要内容。事实上，在2018年上半年，勒索活动略有增加，通过不断变种来绕过安全解决方案，保持与时俱进，在这个案例中， PyLocky勒索软件（由趋势科技检测为RANSOM_PYLOCKY.A）伪装成已存在的勒索软件，并且跟他们一样声名狼藉，甚至有过之而无不及。

在7月下旬和整个8月，我们观察到大量垃圾邮件在传播PyLocky勒索软件。尽管它在勒索信中号称是Locky，但PyLocky与Locky无关。 PyLocky是用Python编写的， 并与PyInstaller一起打包，PyInstaller是一个用于将基于Python的程序打包为独立可执行文件的工具。

用Python编写的勒索软件并不新鲜， 2016年的Crypy(RANSOM_CRYPY.A)，和2017年的Pyl33t（RANSOM_CRYPPYT.A）就是用Python写的。 但PyLocky有反机器学习能力，这点使得它更加突出。通过结合使用Inno Setup Installer（一个基于开源脚本的安装程序）和PyInstaller，它对静态分析方法发起了挑战，包括基于机器学习的解决方案 。

PyLocky的分布似乎也比较集中：我们看到了一些针对欧洲国家的垃圾邮件，特别是法国。虽然垃圾邮件刚开始传播时范围很小，但其数量和范围最终都会不断增加，下图是8月2号和8月24号pylocky分布的对比图：

Pylocky勒索信伪装成Locky勒索软件，如图：

感染链

8月2日，我们检测到垃圾邮件将PyLocky发送给法国企业，并通过社工主题来诱骗他们，比如与发票有关的主题。该电子邮件诱使用户单击链接，该链接将用户重定向到包含PyLocky的恶意URL，如图：

恶意URL是一个zip文件下载（Facture_23100.31.07.2018.zip），包含已签名的可执行文件（Facture_23100.31.07.2018.exe）。一旦成功运行后，Facture_23100.31.07.2018.exe将删除恶意软件组件(几个C ++和Python库以及Python 2.7 Core DLL) 以及C:\Users\{user}\AppData\Local\Temp\is- {random} .tmp目录中的主要勒索软件可执行文件（通过PyInstaller生成的lockyfud.exe），如图：

上图是ZIP文件的数字签名信息(digital signature information)。

下面这张图是与PyLocky有关的恶意组件，如图：

PyLocky会加密图像，视频，文档，声音，程序，游戏，数据库和存档文件等。以下是PyLocky加密的文件类型列表：

这个代码片段显示了PyLocky查询系统属性并且配置为sleep一段时间来逃逸传统sandbox解决方案。

加密程序

PyLocky配置为加密硬编码的文件扩展名列表。PyLocky还滥用Windows Management Instrumentation（WMI）来检查被感染系统的属性。如果被感染系统的总可见内存大小小于4GB，那么PyLocky的反沙箱功能将会休眠999,999秒—差不多11.5天。如果可见内存大小大于或等于4GB，则加密程序直接执行。

加密后，PyLocky将与其C&C服务器建立通信。PyLocky使用PyCrypto库实现其加密程序 — 使用3DES（Triple DES）密码。PyLocky会遍历每个逻辑驱动器，在调用'efile'方法之前会先生成文件列表，该方法对每个文件进行加密，然后留下一封勒索信。

PyLocky的勒索信分为英语，法语，韩语和意大利语4个版本，这表明它也可能针对韩国和意大利用户。它还通过POST方式将被感染系统的信息发送到C＆C服务器，如图：

上面那张图是PyLocky与C&C服务器通信的代码片段，下面那张图是加密程序代码。

缓解措施和趋势科技解决方案

PyLocky的逃逸技术和对管理员保留的合法工具的滥用进一步证明了深度防御的重要性。例如，机器学习是检测独特恶意软件非常不错的网络安全手段，但它并不是灵丹妙药，无法完全检测到恶意软件。在今天的威胁局势下，攻击者可以任意使用不同的攻击向量，这使得多层次的安全方法变得尤为重要。最佳实践的方法就是：定期备份文件，保持系统更新，确保系统组件的安全使用，并培养网络安全意识。

趋势科技XGen™ security 为数据中心、云环境、网络和终端提供了针对各种威胁的防御技术。它的特长就是高度机器学习，可保护网关终端数据和应用程序，并保护物理，虚拟和云工作负载。借助Web / URL过滤，行为分析和自定义沙盒等功能，XGen™可以防御那些具有特定目的且能够绕过传统控制的威胁，这些威胁利用已知、未知或未公开的漏洞来窃取或加密个人身份识别数据。具备智能，优化和连接的XGen™为趋势科技的安全解决方案套件提供支持：混合云安全，用户保护和网络防御。

入侵标志

检测到的哈希值为RANSOM_PYLOCKY.A（SHA-256）：

· c9c91b11059bd9ac3a0ad169deb513cef38b3d07213a5f916c3698bb4f407ffa

· 1569f6fd28c666241902a19b205ee8223d47cccdd08c92fc35e867c487ebc999

相关哈希值（SHA-256）：

· e172e4fa621845080893d72ecd0735f9a425a0c7775c7bc95c094ddf73d1f844（Facture_23100.31.07.2018.zip）

· 2a244721ff221172edb788715d11008f0ab50ad946592f355ba16ce97a23e055（Facture_23100.31.07.2018.exe）

· 87aadc95a8c9740f14b401bd6d7cc5ce2e2b9beec750f32d1d9c858bc101dffa（facture_31254872_18.08.23_ {numbers} .exe）

恶意URLs：

· hxxps://centredentairenantes [.]fr（C＆Cserver）

· hxxps://panicpc[.]fr/client[.]php?fac=676171&u=0000EFC90103

· hxxps://savigneuxcom[.]securesitefr[.]com/client.php?fac=001838274191030

相关阅读：

· A Look at Locky Ransomware’s Recent Spam Activities

· qkG Filecoder: Self-Replicating, Document-Encrypting Ransomware

· CVE-2017-11882 Exploited to Deliver a Cracked Version of the Loki Infostealer

· Ransomware as a Service Princess Evolution Looking for Affiliates