來自卡巴斯基實驗室的Orkhan Mamedov和 Fedor Sinitsyn發文稱,在過去的幾天裡,他們一直在檢測一種新的惡意軟件——KeyPass勒索軟件。安全社區的其他人也已經注意到,這種勒索軟件在8月份開始積極地傳播:
來自MalwareHunterTeam的預警
傳播模式
根據卡巴斯基實驗室所掌握的信息,該勒索軟件目前正通過偽裝成虛假的安裝應用程序進行傳播。
描述
由卡巴斯基實驗室所檢測的KeyPass勒索軟件樣本是採用C++編寫的,並在MS Visual Studio中編譯。它的開發基於MFC、Boost和Crypto ++庫,PE頭顯示了最近的編譯日期。
帶有編譯日期的PE頭
當在受害者的計算機上運行時,該勒索軟件會將可執行文件複製到%LocalAppData%中並執行,然後從原始位置刪除自身。
隨後,它會生成自身進程的多個副本,並將加密密鑰和受害者ID作為命令行參數傳遞。
命令行參數
KeyPass會枚舉出可以通過受感染計算機訪問的本地驅動器和網絡共享,並搜索所有文件(無論其擴展名是什麼),但會跳過位於多個目錄中的文件。在卡巴斯基實驗室所檢測的樣本中,這些路徑被硬編碼在其中。
被排除文件的路徑列表
對於每一個被加密的文件而言,它們都會得到一個附加擴展名“.KEYPASS”。另外,一個名為“!!!KEYPASS_DECRYPTION_INFO!!!.txt”的贖金票據會被保存在每一個完成加密的文件夾中。
贖金票據
加密方案
KeyPass勒索軟件的開發者實施了一個非常簡單的加密方案。勒索軟件在密文反饋(CFB)模式下使用對稱算法AES-256對所有目標文件進行加密,初始化向量(IV)值為0,密鑰為32字節(對於所有目標文件而言,密鑰都相同)。另外,該勒索軟件最多隻會加密每個文件開頭的0x500000字節(大約5MB)的數據。
實施數據加密的部分過程
在運行之後不久,KeyPass就會連接到其命令和控制(C&C)服務器,並接收當前受害者的加密密鑰和感染ID。數據以JSON格式通過明文HTTP傳輸。
如果C&C無法訪問(例如,受感染的計算機未連接到互聯網或服務器宕機),KeyPass則會使用硬編碼的密鑰和ID。這意味著即使是在離線的情況下,加密或解密受害者的文件是完全沒有問題的。
圖形用戶界面(GUI)
卡巴斯基實驗室表示,KeyPass勒索軟件最有趣的特性是能夠“手動控制”。它包含了一個默認隱藏的表單,可以在按下鍵盤上的特定按鍵之後顯示出來。這個功能可能表明其背後的犯罪分子打算在手動攻擊中使用它。
KeyPass的GUI
這個表單允許攻擊者通過更改以下參數來自定義加密過程:
- encryption key(加密密鑰)
- name of ransom note(贖金票據的名稱)
- text of ransom note(贖金票據的文本內容)
- victim ID(受害者ID)
- extension of the encrypted files(被加密文件的擴展名)
- list of paths to be excluded from the encryption(排除在目標文件之外的路徑列表)
默認被排除文件的路徑列表
用於實現通過按鍵顯示GUI的代碼
受感染地理分佈
IOC
901d893f665c6f9741aa940e5f275952 – Trojan-Ransom.Win32.Encoder.n
hxxp://cosonar.mcdir.ru/get.php
閱讀更多 黑客視界 的文章
