近日，360安全大腦監測到一個使用Go語言編寫的勒索病毒正在攻擊國內企業。該勒索病毒會透過“永恆之藍”漏洞傳播自身，同時加密計算機中的重要檔案，將檔案字尾修改為“.locked”，之後向受害使用者索要贖金0.2BTC，我們根據其加密字尾將其稱為“locked”勒索病毒。

不過廣大使用者不必擔心，360安全大腦可精準攔截該病毒攻擊，建議廣大使用者前往https://www.360.cn/下載安裝360安全衛士，保護個人隱私及電腦安全。

連環感染，locked搭載“永恆之藍”高效傳播

0x1傳播分析

駭客透過“永恆之藍”漏洞入侵企業中的一臺計算機，並利用這臺計算機作為跳板入侵企業內網中的其他計算機，具體傳播流程如下圖所示：

駭客成功入侵第一臺計算機後從hxxp://193.56.28.231/wintime.rar下載勒索病毒載入器。勒索病毒載入器會釋放兩個模組。一個是“locked”勒索病毒，另一個則是“永恆之藍”傳播模組。“永恆之藍”傳播模組會將當前計算機作為FTP伺服器，入侵內網其他計算機後透過FTP下載“locked”勒索病毒執行。“永恆之藍”傳播模組是由python語言編寫並打包成exe的，關鍵程式碼如下圖所示。

0x2 勒索病毒分析

 “locked”勒索病毒是由GO語言編寫而成，其中重要的函式及其功能如下表所示：

在加密檔案之前，“locked”勒索病毒會結束系統中執行的資料庫相關的程式以確保勒索病毒能成功修改檔案內容。

“locked”勒索病毒為每臺計算機生成一對RSA金鑰對。這對金鑰對中的私鑰會透過硬編碼在勒索病毒程式檔案中的一個RSA公鑰進行加密並格式化後作為PersonID成的RSA金鑰對中的公鑰則用來加密為每個待加密檔案生成的AES金鑰，加密後的內容將直接儲存在被加密的檔案中，而這個AES金鑰才是最終加密檔案的金鑰。金鑰生成與使用流程如下圖所示。

駭客接收到贖金後進行解密時，需要受害者提供勒索資訊中的PersonID，並用手裡的RSA私鑰（這個私鑰與硬編碼在勒索病毒程式檔案中的RSA公鑰成對）從PersonID中解出對應於受害者計算機的RSA私鑰（這個私鑰就是main_Generate函式生成的）。之後用該私鑰從被加密檔案中解出每個檔案加密時使用的AES金鑰，之後解密檔案。

檔案加密函式main_encrypt以序列的形式存在，Locked勒索病毒在加密一個檔案後才會加密另一個檔案。相比較一些使用多執行緒加密檔案的勒索病毒，Locked勒索病毒的加密效率較低，需要花較長的時間加密機器中的檔案。關鍵加密流程如下圖所示。

在加密檔案型別的選擇上，“locked”勒索病毒會加密包括辦公文件、音影片、資料庫檔案在內的超過三百種檔案型別。加密完成後，Locked勒索病毒會展示如下圖所示的勒索資訊，勒索金額為0.2BTC，勒索資訊中的PersonID就是繳納贖金時使用的憑證，駭客需要透過PersonID解密檔案，除了勒索資訊外，Locked勒索病毒還將PersonID儲存在%USERPROFILE%目錄下檔名為windows的檔案中，以防止受害者誤刪勒索資訊導致無法解密。

值得一提的是，“locked”勒索病毒會在執行過程中展示檔案加密情況，筆者推測這可能只是“locked”勒索病毒的一個除錯版本。

完成檔案加密工作後，“locked”勒索病毒會向駭客伺服器傳送訊息，伺服器ip地址為193.56.28.231。目前該伺服器已無法連線。

0x3 關聯分析

透過與開源情報進行關聯，我們發現此次傳播的“locked”勒索病毒為今年3月在國外傳播的“Tellyouthepass”勒索病毒變種。“Tellyouthepass”勒索病毒與此次傳播的Locked勒索病毒擁有幾乎完全相同的勒索資訊，並且在函式命名上也幾乎完全相同。下圖是“Tellyouthepass”勒索病毒的函式名稱，與上文表格中“locked”勒索病毒的函式名稱基本一致。

    兩者唯二的區別在於BTC錢包地址以及聯絡郵箱地址，“Tellyouthepass”勒索病毒為1CLWBxbBKddQTUuhsUsn8izq2crUAgGYZ1和tellyouthepass@protonmail.com（Tellyouthepass”勒索病毒由此得名），而本次傳播的l“locked”勒索病毒為1qopxAR7BuxnhK7UVFqcJtS2zGWZGWsC2和beautifulgirls@youknowmynameisbob.online。此外，“id-ransomware”還提供了另一組BTC錢包和聯絡郵箱地址，為1Db8Ho7YjSipgzjNcK4bdSGeg12JrnKSSc和coinmoney@cock.li。

360安全大腦溯源發現，“Tellyouthepass”勒索病毒在今年3月底曾經攻擊過位於烏克蘭的一家企業，攻擊者透過“永恆之藍”漏洞攻擊武器入侵企業計算機之後，嘗試透過PowerShell、certutil、bitsadmin等合法程式下載“Tellyouthepass”勒索病毒，下載ip地址為193.56.28.203與本次傳播的Locked勒索病毒所連線的伺服器ip地址193.56.28.231在一個網段下。攻擊者入侵成功後執行的命令如下圖所示。

除了使用“永恆之藍”漏洞攻擊企業伺服器外，攻擊者在今年四月份還透過Tomcat弱口令爆破入侵一臺國內伺服器，入侵後使用微軟合法程式regsvr32執行hxxp://193.56.28.203/down.sct，最終下載並執行植入“Tellyouthepass”勒索病毒。

透過以上關聯資訊可以推斷此次傳播的locked勒索病毒為“Tellyouthepass”勒索病毒變種，勒索病毒背後的攻擊團伙存在以下特徵：

1.善於使用多種手段入侵伺服器，沒有特定的攻擊目標，可能透過全網掃描尋找獵物；

2.偏愛無檔案攻擊手法；

3.駭客伺服器位於193.56.28.0/24網段下。

0x4 防護建議

針對該病毒的攻擊感染態勢，360安全大腦已實現對該病毒的攔截查殺，為防止該病毒進一步感染蔓延，360安全大腦建議廣大使用者做好以下保護措施，防患於未然：

1.下載安裝360安全衛士，攔截各類病毒木馬攻擊，保護個人隱私及財產安全；

2.多臺機器不要使用相同的賬號和口令，口令要有足夠的長度和複雜性，並定期更換；

3.重要資料共享資料夾應設定訪問許可權控制，並定期備份；

4.定期檢測系統和軟體中的安全漏洞，及時打上補丁；

5.定期到伺服器檢查是否存在異常。檢視範圍包括：

a)    是否有新增賬戶

b)    Guest是否被啟用

c)    Windows系統日誌是否存在異常

d)    防毒軟體是否存在異常攔截情況

0x5 IOCs

5423d7935aa3cb0328eb6ce89fb052ca

9123fd863a203a6507665c8e89b5d75a

6bb97ae11af3200d69764ea6804e9f71

d4ec36d096ba761a1b2ee237d9a9865d

193.56.28.231

193.56.28.203