曲速未來 訊息：警惕 Locky Poser，PyLocky Ransomware

區塊鏈安全諮詢公司曲速未來 表示：雖然勒索軟體在今天的威脅形勢中明顯受到限制，但它仍然是網路犯罪的主要內容。事實上，它在2018年上半年的活動略有增加，通過微調以逃避安全解決方案保持同步，模仿已建立的勒索軟體系列並駕馭他們的惡名。

在7月下旬和整個8月，觀察到垃圾郵件的浪潮傳遞了PyLocky勒索軟體。儘管它在贖金票據中試圖以洛克為藉口，但PyLocky與洛克無關。PyLocky是用Python編寫的，Python是一種流行的指令碼語言;並與PyInstaller一起打包，PyInstaller是一個用於將基於Python的程式打包為獨立可執行檔案的工具。

用Python編寫的勒索是不是新的-已經看到CryPy（RANSOM_CRYPY.A）在2016年，和Pyl33t在2017年（RANSOM_CRYPPYT.A）-但PyLocky設有抗機器學習能力，這使得它顯著。通過結合使用Inno Setup Installer（一個基於開源指令碼的安裝程式）和PyInstaller，它對靜態分析方法提出了挑戰，包括基於機器學習的解決方案-也已經看到了Cerber do的變種（雖然使用了Cerber） NullSoft安裝程式）。

PyLocky的發行似乎也很集中;可以看到了幾個針對歐洲國家的垃圾郵件，特別是法國。雖然垃圾郵件的執行起步很小，但它的數量和範圍最終都會增加。

圖1：與8月2日（左）和8月24日（右）相關的PyLocky相關垃圾郵件的分佈

圖2：PyLocky的贖金票據假裝是Locky勒索軟體

感染鏈

8月2日，將檢測到垃圾郵件執行將PyLocky分發給法國企業，並通過社交工程主題（例如與發票相關的主題）吸引他們。該電子郵件誘使使用者單擊連結，該連結將使用者重定向到包含PyLocky的惡意URL。

​

圖3：帶有主題行的垃圾郵件，“Nousavonsreçupotrerepaiement”，表示“我們已收到您的付款”

惡意URL會導致ZIP檔案（Facture_23100.31.07.2018.zip）包含已簽名的可執行檔案（Facture_23100.31.07.2018.exe）。成功執行後，Facture_23100.31.07.2018.exe將刪除惡意軟體元件-幾個C++和Python庫以及Python 2.7 Core動態連結庫（DLL）-以及主要勒索軟體可執行檔案（lockyfud.exe，它是通過PyInstaller）在C：\Users\{user}\AppData\Local\Temp\is-{random}.tmp中。

​

圖4：ZIP檔案

圖5. PyLocky相關惡意軟體元件的數字簽名資訊

PyLocky包括影象，視訊，文件，聲音，程式，遊戲，資料庫和存檔檔案等。這是PyLocky加密的檔案型別列表：

圖6：顯示PyLocky查詢系統屬性的程式碼片段

圖7.配置為休眠一段時間以逃避傳統的沙箱解決方案

加密例程

PyLocky配置為加密硬編碼的副檔名列表，如圖4圖5所示.PyLocky還濫用Windows Management Instrumentation（WMI）來檢查受影響系統的屬性。如果受影響的系統的總可見記憶體大小小於4GB，PyLocky的防沙箱功能將會休眠999.999秒-或者僅超過11.5天。如果檔案加密例程大於或等於4GB，則執行該例程。

加密後，PyLocky將與其命令和控制（C＆C）伺服器建立通訊。PyLocky使用PyCrypto庫實現其加密例程 - 使用3DES（Triple DES）密碼。PyLocky遍歷每個邏輯驅動器，首先在呼叫'efile'方法之前生成檔案列表，該方法用加密版本覆蓋每個檔案，然後丟棄贖金票據。

PyLocky的贖金票據是英語，法語，韓語和義大利語，這可能表明它也可能針對講韓語和義大利語的使用者。它還通過POST將受影響的系統資訊傳送到C＆C伺服器。

圖8：顯示PyLocky的C＆C通訊

圖9.加密例程（底部）的程式碼片段

圖10：PyLocky用不同語言的贖金票據

緩解方案

區塊鏈安全諮詢公司曲速未來 表示：機器學習是檢測獨特惡意軟體的有價值的網路安全工具，但它不是一個靈丹妙藥。在今天的威脅下，攻擊者可以使用不同的向量，這使得多層次的安全方法變得非常重要。應用最佳實踐：定期備份檔案，保持系統更新，確保系統元件的使用，並培養網路安全意識文化。

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。