​新型勒索病毒已经出现

新型勒索病毒已经出现

今日一个使用Go语言编写的勒索病毒正在攻击国内企业。该勒索病毒会加密计算机中的重要文件，将文件后缀修改为“.locked”，索要赎金0.2BTC。我们根据其加密后缀将其称为“locked”勒索病毒。

0x1传播分析

黑客通过“永恒之蓝”漏洞入侵企业中的一台计算机，并利用这台计算机作为跳板入侵企业内网中的其他计算机，具体传播流程如下图所示：

黑客成功入侵第一台计算机后从hxxp://193.56.28.231/wintime.rar下载勒索病毒加载器。勒索病毒加载器会释放两个模块。一个是“locked”勒索病毒，另一个则是“永恒之蓝”传播模块。“永恒之蓝”传播模块会将当前计算机作为FTP服务器，入侵内网其他计算机后通过FTP下载“locked”勒索病毒运行。“永恒之蓝”传播模块是由python语言编写并打包成exe的。

0x2 勒索病毒分析

“locked”勒索病毒是由GO语言编写而成，其中重要的函数及其功能如下表所示：

在加密文件之前，“locked”勒索病毒会结束系统中运行的数据库相关的进程以确保勒索病毒能成功修改文件内容

“locked”勒索病毒为每台计算机生成一对RSA密钥对。这对密钥对中的私钥会通过硬编码在勒索病毒程序文件中的一个RSA公钥进行加密并格式化后作为PersonID成的RSA密钥对中的公钥则用来加密为每个待加密文件生成的AES密钥，加密后的内容将直接存储在被加密的文件中，而这个AES密钥才是最终加密文件的密钥。密钥生成与使用流程如下图所示。

我们已经成功恢复“locked”勒索病毒，并建立了该尾缀病毒的数据库，已成功的案例如下图：

通过与开源情报进行关联，我们发现此次传播的“locked”勒索病毒为今年3月在国外传播的“Tellyouthepass”勒索病毒变种。“Tellyouthepass”勒索病毒与此次传播的Locked勒索病毒拥有几乎完全相同的勒索信息，并且在函数命名上也几乎完全相同。下图是“Tellyouthepass”勒索病毒的函数名称，与上文表格中“locked”勒索病毒的函数名称基本一致。

除了使用“永恒之蓝”漏洞攻击企业服务器外，攻击者在今年四月份还通过Tomcat弱口令爆破入侵一台国内服务器，入侵后使用微软合法程序regsvr32执行hxxp://193.56.28.203/down.sct，最终下载并执行植入“Tellyouthepass”勒索病毒。

通过以上关联信息可以推断此次传播的Locked勒索病毒为“Tellyouthepass”勒索病毒变种，勒索病毒背后的攻击团伙存在以下特征：

善于使用多种手段入侵服务器，没有特定的攻击目标，可能通过全网扫描寻找猎物；偏爱无文件攻击手法；黑客服务器位于193.56.28.0/24网段下。