背景概述

Sekhmet勒索病毒於今年三月份出現，已有一家跨境IT服務公司的資料被該勒索病毒團伙在部落格上公佈了近百G的資料。

攻擊者採用先竊取再加密的方式實施勒索行為。該勒索病毒和“大名鼎鼎”的Sodinokibi勒索病毒一樣使用了隨機加密字尾。勒索提示文件告知受害者若三天內不繳納贖金，攻擊者將在其搭建的網站上公佈受害者的機密資訊。

Sekhmet勒索病毒暫無公開解密方式。

執行過程

樣本分析

DllRegisterServer為勒索函式：

該樣本使用了以下方法來阻礙分析：

1. 使用大量無效跳轉；

2. 使用push address ，retn進行函式呼叫；

3. 手動平衡堆疊；

利用GetProcAddress載入加密、檔案、執行緒等函式阻礙靜態特徵提取；

建立空間寫入PE檔案

建立執行緒一並跳轉執行；

呼叫WMI；

選擇卷影刪除；

收集使用者資訊；

生成使用者RSA公私鑰對2048位，獲取金鑰容器CryptAcquireContextW；

生成金鑰對CryptGenKey；

加密使用者私鑰CryptEncrypt。

建立執行緒二（0xACF500）

向攻擊者伺服器回傳使用者資訊；

 

計算IP地址185.82.126.81；

連線至185.82.126.81:50埠； 

建立POST 185.82.126.81:50/update.php?id=7118；

傳送資訊；

金鑰組成結構

使用了Chacha20演算法加密，初始金鑰矩陣如下：

 

使用EncryptBinaryToStringA轉換，包含Chacha20金鑰的隨機值，行列置換後的金鑰矩陣及金鑰流，使用者組資訊。

建立執行緒三

對每個驅動盤進行加密，獲取驅動資訊；；

獲取對每個驅動開啟單獨的加密執行緒；

每個檔案目錄下先建立RECOVER-FILE.txt；

寫入內容；

遍歷資料夾；

不加密部分檔案如boot.ini、ntuser.dat等；

不加密檔案字尾lnk、exe、sys、dll；

讀取檔案末尾0x10C位元組資料；

獲取使用者公鑰；

兩次CryptGenRandom分別生成Chacha20金鑰矩陣的Key和Nonce；

使用使用者RSA公鑰加密該金鑰矩陣；

將RSA加密後的Chacha20金鑰矩陣寫入檔案；

使用Chacha20加密檔案寫入檔案；

生成隨機字尾；

修改檔案字尾，修改完清除記憶體中的chacha20初始金鑰；

關閉控制程式碼，退出執行緒。

深信服安全產品解決方案

深信服下一代防火牆AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品，已整合了SAVE人工智慧引擎，均能有效檢測防禦此惡意軟體，已經部署相關產品的使用者可以進行安全掃描，檢測清除此惡意軟體，如圖所示：

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺：

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知平臺、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3. 深信服安全產品繼承深信服SAVE安全智慧檢測引擎，擁有對未知病毒的強大泛化檢測能力，能夠提前精準防禦未知病毒；

4. 深信服推出安全運營服務，透過以“人機共智”的服務模式提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

加固建議

1. 使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

2. 避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

3. 定期使用安全軟體進行全盤掃描和處置，定期檢測系統漏洞並且進行補丁修復。

諮詢與服務

您可以透過以下方式聯絡我們，獲取關於該勒索病毒的免費諮詢及支援服務：

1、撥打電話400-630-6430轉6號線（已開通勒索軟體專線）；

2、關注【深信服技術服務】微信公眾號，選擇“智慧服務”選單，進行諮詢；

3、PC端訪問深信服社群 bbs.sangfor.com.cn，選擇右側智慧客服，進行諮詢。