近日,360安全大腦監測發現一種具有蠕蟲性質的新型勒索病毒Coffee存在大範圍傳播的風險。針對該勒索病毒傳播事件,360安全分析團隊(CCTGA勒索軟體防範應對工作組成員)展開了詳盡的分析。經過系統性分析確定,Coffee病毒可以通過軟體捆綁和QQ群釣魚傳播且危害性極大,需引起高度重視和警惕。
通過真實案例對Coffee病毒的攻擊流程進行了還原:某網盤工具“數碼小站.exe”與 “AppUnion.dll”是攻擊者準備的一對白利用程式。當宿主程式“數碼小站.exe”執行時,病毒模組“AppUnion.dll”被載入執行。之後,病毒模組會先最小化當前資料夾的視窗,之後用真正的“數碼小站.exe”替換掉原先的病毒宿主程式,再次把真正的“數碼小站.exe”執行起來,就此完成了捆綁病毒的執行,使用者很難發現其中問題。
不過,需要指出的是:使用者本地的病毒模組,只是該病毒的一個引導與執行器,真正的功能載荷都是通過遠端載入的方式獲取的。其中關鍵的兩個功能模組,載入地址如下(除了使用Gitee,還使用了IPFS用以儲存惡意Shellcode):
hxxps://gitee[.]com/temphi/chinese_chess/raw/master/css/r.jpg
hxxps://gitee[.]com/temphi/chinese_chess/raw/master/css/t.jpg
其中,前者為勒索病毒模組,後者為利用QQ傳播所用的相關檔案。一切就緒後,攻擊者會把白利用複製到要感染的程式目錄下,然後白exe的檔名將變成被感染的程式名稱加上一個不可見字元0x200e,並通過修改桌面lnk指向這個白exe。隨後,攻擊者可通過雲端Shellcode,遠端開啟處於預設關閉狀態的加密勒索功能。其中,觸發機密開關有兩個,分別為:
1. 計算用當前機器時間轉換成分鐘減去%Appdata%目錄下的guid-RSA.TXT檔案的建立時間的分鐘數如果>=100天則觸發(部分版本配置的是36500天)
2. 執行run函式的引數如果為901則直接觸發加密,100為開啟傳送QQ傳播(目前雲控配置),200為禁用QQ傳播,301為關閉感染替換其它程式(dll劫持)
加密勒索功能開啟後,系統將以guid "d672a56c-f9bd-4297-93c3-27caa1a5e36a"為例,生成加密金鑰。生成的加密檔案用的KEY為:"juWECzjk",其中前4個字元juWE會做為加密後的檔名中的pwdmask,例如test.coffee. juWE.jpg。
值得一提的是,檔案加密使用的是RC4演算法。加密前會檢測加密標記(位於被加密檔案尾部),防止重複加密,並且只加密檔案的前2097152位元組即2MB。被加密的檔案格式有:.key、.keys、.pfx、.pem、.p12、.csr、.gpg、.aes、.docx、.doc、.docm、.pdf、.xlsx、.xls、.xlsm、.xlsb、.ppt、.pptx、.pptm、.wps、.et、.dps、.csv、.mdb、.dbf、.dat、.db、.sav、.sas、.sas7bdat、.m、.mat、.r、.rdata、.psd、.cdr、.ai、.jpg、.3gp、.mp4、.mov、.dwg、.dxf、.vsd、.lst、.ba_、.rep、.rbk、.ais、.aib、.dbb、.mdf、.ldf、.ndf、.myd、.frm、.myi、.ibd、.sql、.sqlite、.fdb、.gdb、.rdb、.aof、.udb、.udbx、.wt、.wl、.wp、.shp、.cs、.java、.cpp、.pas、.asm、.rar、.zip。
加密完成後將生成勒索信,勒索信中的待解密密碼為使用內建的一個1024位的RSA公鑰:
uqYJWgnvSUWXC22R2CMHYzTA3d2dE+W4AhtkBR6HcA/wLRe2eBctuZrwW6F5jM+fIVx+gooGapnaMTcQ9EtYr0FkHY1TqD8VhTUp08dZHCVoBNNLEkVTEFKD5F1GdEXptEP0046OqnztAb94JtzP0FOvaCeuswDVbmfHZco0SxM=
加密加密檔案所用的KEY後的內容。
雖然Coffee病毒有愈演愈烈的趨勢,不過可喜的是,360解密大師已經在第一時間支援了該勒索病毒解密。受到Coffee勒索病毒影響的使用者,可嘗試使用360解密大師解密,或聯絡360安全中心尋求幫助。