深信服EDR安全团队,最近捕获到一款新型勒索病毒家族样本Vendetta。Vendetta是一款使用.NET框架开发的勒索病毒样本,会加密主机系统中大部分文件后缀名的文件,加密后缀为.vendetta,同时其具有Telegram通信功能,通过Telegram发送相应的主机进程信息以及加密信息,最后进行自删除。
勒索信息内容如下所示:
1.样本使用.NET框架开发,无加壳,如下所示:
2.判断程序是否已经运行,如果已经运行,则退出,如下所示:
3.生成日志文件log.html,如下所示:
4.判断系统所在区域,如果为以下国家区域,则退出,如下所示:
相应的国家区域列表,如下所示:
Russian、Russian (Belarus)、Russian (Kyrgyzstan)、Russian (Kazakhstan)、
Russian(Moldova)、Russian (Russia)、Russian (Ukraine)、Bashkir (Russia)、
Chechen(Russia)、Church Slavic (Russia)、Ossetic (Russia)、Sakha (Russia)、
Tatar(Russia)、Ukrainian、Ukrainian(Ukraine)、Azerbaijani、Azerbaijani(Cyrillic)、Azerbaijani (Cyrillic, Azerbaijan)、Azerbaijani (Latin)
Azerbaijani(Latin, Azerbaijan)、Armenian、Armenian(Armenia)、
Belarusian、Belarusian (Belarus)、Kazakh (Kazakhstan)、Kyrgyz、
Kyrgyz(Kyrgyzstan)、Kazakh、Romanian(Moldova)、Tajik、
Tajik(Cyrillic)、Tajik (Cyrillic, Tajikistan)、Uzbek、
Uzbek(Perso-Arabic)、Uzbek (Perso-Arabic, Afghanistan)、Uzbek (Cyrillic)、
Uzbek(Cyrillic, Uzbekistan)、Uzbek (Latin)、Uzbek (Latin, Uzbekistan)、
Turkmen、Turkmen (Turkmenistan)
5.枚举进程信息,然后生成进程信息文件processes.csv,并写入进程信息,如下所示:
6.枚举进程,结束掉相应的进程列表中的进程,如下所示:
相应的进程列表,如下所示:
notepad、devenv、msbuild、taskmgr、spoolsv、skypebackgroundhost、skypeapp、
searchui、samsungrapidsvc、redis-server、postgres、perfwatson2、open server x64、
openserver x32、open server x86、open server、nginx、named、mysqld、mongod、
memcached、jenkins、java、httpd、googleupdate、ftp、chrome、calculator、
firefox、winword、microsoftedge、microsoftedgecp、cmsserver、zf、dsq、
sqlsrvr、qqeimguard、企业QQ、qqeimplatform、tv_x64、teamviewer 13、wpscloudsvr、
WPS服务程序、提供账号登录、云存储等服务、teamviewer_service、igfxtray、igfxhk、
igfxem、igfxcuiservice、tv_w32、ss_privoxy、privoxy、userclient、qqprotect、
mqsvc、gnaupdaemon、mysqld-nt
7.随机生成password,如下所示:
使用RSA的公钥加密相应的password,并生password文件,如下所示:
RSA的公钥从公钥配置文件public.xml中读取,如下所示:
8.获取要加密的文件后缀名列表,一共三千多个,如下所示:
9.创建文件加密线程,如下所示:
遍历磁盘文件,如下所示:
如果文件存放在以下目录,则不进行加密,如下所示:
相应的目录列表,如下所示:
%ApplicationData%
%AllUsersProfile%
%ProgramData%
%ProgramFiles%
C:\Intel
C:\Nvidia
C:\intel
C:\nvidia
C:\Users\AllUsers
C:\Users\Allusers
C:\Users\allusers
C:\Users\Public
C:\Users\public
C:\Users\acdgq\Desktop
C:\Windows
C:\ProgramFiles
C:\ProgramFiles\Common Files
C:\ProgramFiles\Common Files\Microsoft\Exchange Server
C:\ProgramFiles\Common Files\Microsoft SQL Server
C:\ProgramFiles\Microsoft\Exchange Server
C:\ProgramFiles (x86)\Microsoft\Exchange Server
C:\ProgramFiles\Microsoft SQL Server
C:\ProgramFiles (x86)\Microsoft SQL Server
对遍历到的目录或文件进行相关处理,如下所示:
并保存相应的加密文件和非加密文件的文件信息encFiles.json、nonEncFiles.json,如下所示:
加密文件内容,如下所示:
10.加密文件的过程,如下所示:
根据文件的大小,执行不同的加密程序,相应的加密程序如下所示:
加密后的文件为[加密后的原文件名]+vendetta,如果生成的加密后的文件名大于等于248,则使用[原文件名]+vendetta2为加密后的文件名,如下所示:
加密后的文件,如下所示:
11.获取主机的相关ID,创建Telegram通讯连接,将之前生成的加密密钥以及进程列表信息通过Telegram发送,如下所示:
12.加密完成之后,通过Telegram发送相应的信息以及生成的配置文件等,如下所示:
13.生成相应的勒索信息超文本文件How to decrypt files.html,如下所示:
并设置为自启动项,如下所示:
14.最后进行自删除操作,如下所示:
深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件;
2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞;
3.对重要的数据文件定期进行非本地备份;
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码;
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。
*本文作者:千里目安全实验室