UNNAMED1989勒索病毒分析報告
病毒簡介
2018年12月1日,國內出現首個要求使用微信支付的勒索病毒,在網路中引起不小的恐慌。該勒索病毒病毒使用E語言開發,是有史以來第一款使用中文開發的勒索病毒。病毒執行後會加密當前桌面和非系統盤中的指定檔案,中毒後重啟機器會彈出勒索資訊提示框,並附帶二維碼提示使用者使用微信掃碼支付110元贖金進行檔案解密。
圖:勒索主介面
病毒分析
瑞星對該勒索病毒的生命週期做了詳細分析,發現該病毒具有一定危害性,但並沒有達到公眾對其恐慌的級別。該病毒作者應屬於初級開發水平,沒有任何技術含量可言,唯一的亮點是其傳播途徑“供應鏈汙染”。
1、加密演算法簡單,被勒索檔案可以完全還原
病毒作者聲稱檔案使用DES加密演算法加密,加密金鑰被上傳到伺服器。瑞星安全專家通過分析發現該病毒使用的是異或加密,所有檔案使用同一金鑰進行加密,並且金鑰儲存在本地。所以在本地金鑰沒有被刪除的情況下,檔案完全可以恢復。相比於國外流行的勒索使用對稱非對稱加密演算法,該勒索病毒使用加密手法相對較弱。從中可以看出該病毒作者對加密演算法掌握不深。
從C2配置檔案的加密演算法上也可以看出病毒作者使用的加密演算法比較簡單,病毒作者使用豆瓣、CSDN、簡書、github等知名部落格網站當作C2 儲存配置資訊。
圖:豆瓣C2配置資訊
病毒作者對於配置檔案資訊的解密演算法,只是簡單的分割字元減去101,沒有任何複雜性可言。從病毒作者使用的種種加密演算法上可以看出,該作者是一個初級的病毒開發者。
2、該病毒不會主動傳播,感染範圍可控
相於WanaCrypt勒索病毒利用永恆之藍漏洞迅速傳播全球,該勒索病毒沒有任何主動傳播途徑,該病毒受害者都是在不知情的情況下運行了被插入病毒程式碼的軟體,沒有利用任何漏洞進行傳播,所以病毒受害者範圍都會控制在使用病毒軟體的範圍內,不會對其他未使用帶毒軟體的使用者造成任何影響,這就說明該病毒不可能大規模、大範圍的爆發。同時該病毒的易感人群為E語言愛好者,被植入病毒程式碼的軟體大部分為黑灰產軟體,對於普通人來說不用過度太擔心。
圖:被供應鏈汙染的軟體
3、病毒作者安全意識缺乏,被抓只是時間問題
第一、病毒作者使用微信支付的方式進行勒索。微信支付都要求實名,監管機構很容易通過微信收款賬號查出收款人,即便病毒作者使用的是虛假微信收款賬戶,也能通過資金的流向定位到背後嫌疑人,所以通過微信來收款,完全是在作死。
第二、病毒作者將伺服器的賬號密碼存放在C2的配置檔案中。病毒作者對C2配置資訊使用簡單的加密方法,並將這些配置資訊存放在一些公開的博文中,所以很容易解密這些配置資訊。這些配置資訊包括病毒伺服器的FTP賬號密碼、MySql資料庫賬號密碼,由此可見病毒作者的安全意識十分淡薄。
圖:被作者洩露的伺服器資訊
第三,在配置檔案中解密出來的Mysql賬號密碼是該病毒作者的日常通用密碼,通過該密碼可以登入該病毒作者的微博、百度、360、愛奇藝、中關村線上、印象筆記等網站。通過這些網站也暴露了病毒作者的真實身份。
圖:病毒作者某網站的後臺登陸記錄
病毒作者在後門的C2地址裡留有兩個未被註冊的域名,一個是 ofollow,noindex" target="_blank"> www.lsy19960417.com ,另一個是 www . lsy 1 9960417.cn ,為了防止這兩個域名被病毒作者或其他人控制,瑞星第一時間sinkhole了這兩個域名,通過這兩個域名的訪問日誌,瑞星可以掌握一些該病毒作者“經營”的勢力範圍。瑞星將訪問C2的網路流量接入到了瑞星態勢感知平臺。
圖:伺服器收集到病毒訪問C2的日誌
圖:瑞星態勢感知潛在受害者的位置分佈
瑞星統計了潛在受害者的地域分佈,通過分析發現,幾乎全國各地都有感染者,排名靠前的有四川、河南和廣東,說明該病毒作者通過供應鏈汙染投毒還是挺成功的。
圖:潛在受害者的地域分佈
瑞星對病毒樣本進行分析發現,通過供應鏈汙染被病毒開發者植入的後門C2地址有5個,分別如下:
備註 |
地址 |
目前狀態 |
豆瓣 |
https://www.douban.com/note/694315517/ |
刪除 |
| G ithub |
https://raw.githubusercontent.com/qq1790749886/javanet/ |
刪除 |
| 作者持 有 |
http://www.myapplication.top/ |
不可解析 |
未註冊 |
http://www.lsy19960417.com/ |
Sinkhole |
未註冊 |
http://www.lsy19960417.cn/ |
Sinkhole |
圖:病毒C2伺服器資訊
豆瓣地址已被工作人員刪除,github上的C2地址也已被刪除,估計是病毒作者所刪。病毒作者持有的那個域名目前暫時不能解析,剩下兩個被瑞星Sinkhole了,但病毒潛在的威脅仍然存在。
威脅存在於github和作者持有的域名上,那兩個地址隨時可能被病毒作者啟用,投遞其的惡意病毒,此次投遞的是可解密的勒索病毒,下次可能就是升級版的不可解密的勒索病毒。
目前,瑞星公司所有產品均可對其進行攔截。
圖:瑞星ESM成功清除
