Image may be NSFW.
Clik here to view.
来自卡巴斯基实验室的Orkhan Mamedov和Fedor Sinitsyn发文称,在过去的几天里,他们一直在检测一种新的恶意软件――KeyPass勒索软件。安全社区的其他人也已经注意到,这种勒索软件在8月份开始积极地传播:
Image may be NSFW.
Clik here to view.
来自MalwareHunterTeam的预警
传播模式根据卡巴斯基实验室所掌握的信息,该勒索软件目前正通过伪装成虚假的安装应用程序进行传播。
描述由卡巴斯基实验室所检测的KeyPass勒索软件样本是采用C++编写的,并在MS Visual Studio中编译。它的开发基于MFC、Boost和Crypto ++库,PE头显示了最近的编译日期。
Image may be NSFW.
Clik here to view.
带有编译日期的PE头
当在受害者的计算机上运行时,该勒索软件会将可执行文件复制到%LocalAppData%中并执行,然后从原始位置删除自身。
随后,它会生成自身进程的多个副本,并将加密密钥和受害者ID作为命令行参数传递。
Image may be NSFW.
Clik here to view.
命令行参数
KeyPass会枚举出可以通过受感染计算机访问的本地驱动器和网络共享,并搜索所有文件(无论其扩展名是什么),但会跳过位于多个目录中的文件。在卡巴斯基实验室所检测的样本中,这些路径被硬编码在其中。
Image may be NSFW.
Clik here to view.
被排除文件的路径列表
对于每一个被加密的文件而言,它们都会得到一个附加扩展名“.KEYPASS”。另外,一个名为“!!!KEYPASS_DECRYPTION_INFO!!!.txt”的赎金票据会被保存在每一个完成加密的文件夹中。
Image may be NSFW.
Clik here to view.
赎金票据
加密方案KeyPass勒索软件的开发者实施了一个非常简单的加密方案。勒索软件在密文反馈(CFB)模式下使用对称算法AES-256对所有目标文件进行加密,初始化向量(IV)值为0,密钥为32字节(对于所有目标文件而言,密钥都相同)。另外,该勒索软件最多只会加密每个文件开头的0x500000字节(大约5MB)的数据。
Image may be NSFW.
Clik here to view.
实施数据加密的部分过程
在运行之后不久,KeyPass就会连接到其命令和控制(C&C)服务器,并接收当前受害者的加密密钥和感染ID。数据以JSON格式通过明文HTTP传输。
Image may be NSFW.
Clik here to view.
如果C&C无法访问(例如,受感染的计算机未连接到互联网或服务器宕机),KeyPass则会使用硬编码的密钥和ID。这意味着即使是在离线的情况下,加密或解密受害者的文件是完全没有问题的。
图形用户界面(GUI)卡巴斯基实验室表示,KeyPass勒索软件最有趣的特性是能够“手动控制”。它包含了一个默认隐藏的表单,可以在按下键盘上的特定按键之后显示出来。这个功能可能表明其背后的犯罪分子打算在手动攻击中使用它。
Image may be NSFW.
Clik here to view.
KeyPass的GUI
这个表单允许攻击者通过更改以下参数来自定义加密过程:
encryption key(加密密钥) name of ransom note(赎金票据的名称) text of ransom note(赎金票据的文本内容) victim ID(受害者ID) extension of the encrypted files(被加密文件的扩展名) list of paths to be excluded from the encryption(排除在目标文件之外的路径列表)Image may be NSFW.
Clik here to view.
默认被排除文件的路径列表
Image may be NSFW.
Clik here to view.
用于实现通过按键显示GUI的代码
受感染地理分布Image may be NSFW.
Clik here to view.
IOC
901d893f665c6f9741aa940e5f275952 Trojan-Ransom.Win32.Encoder.n
hxxp://cosonar.mcdir.ru/get.php
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。