最近流行的勒索病毒情報彙總

本文一共字數3125字,共22張圖 預計用時10分鐘
注意:文中的樣本只是近期的樣本而不是全部家族的彙總!

0x00.前言:

Gcow安全團隊追影小組最近處理了多起勒索病毒感染事件，透過對這些事件的分析和覆盤，面向各位吃瓜群眾和安全研究人員，總結出一批獨具特色的勒索病毒的勒索特徵和解密手段說明,還請各位大佬多多擔待

0x01.Makop:

a.發展歷史:

Makop勒索病毒最早於2020年年初被發現，作者甚至公開在俄語論壇直播更新，十分囂張。

透過分析其商業模式，發現該系列存在多級代理，上級人員負責處理勒索軟體升級和收取勒索贖金，下級人員負責對各種目標進行滲透並投毒。

對安恆捕獲到的完整樣本進行分析，發現此家族每次生成4個版本，按照有無除錯資訊可以分為帶UI的測試環境版本和無UI的生產環境版本，按照加密順序可以劃分為快速加密版本和常規加密版本（常規版本針對特定字尾的檔案如sqlite和doc等優先進行加密）。

另外還有一個比較有意思的發現，就是此家族樣本除了不加密自身加密的檔案之外，還包含了“CARLOS”字尾，此字尾的樣本在2020年2月左右出現過，兩者存在強相關。

b.勒索特徵:

c.加密和特徵:

1.每30s生成新的隨機AES金鑰，全盤掃描一次未加密檔案  
2.使用內建硬編碼RSA公鑰加密1中提到的AES金鑰  
3.針對每個檔案生成AES IV，用於加密檔案資料  
4.將2中被加密的AES和3中的AES IV寫入檔案尾部

雖然勒索病毒不會退出，但是由於每30s一次的AES金鑰更新，記憶體中基本上不會存在解密所需的AES金鑰，因此正常情況下不存在解密方法。

d.函式特徵:

0x02.GlobeImposter:

a.發展歷史:

GlobeImposter家族首次發現是在2017年5月左右，截至2020年仍然存在相關變種並且傳播廣泛，危害極大。

b.勒索特徵:

c.加密流程和特徵:

1.每個檔案生成AES金鑰，用於加密檔案資料  
2.本地隨機生成RSA金鑰對，公鑰用於加密1中提到的隨機AES金鑰  
3.每個樣本都存在硬編碼的RSA公鑰，用於加密2中提到的隨機RSA金鑰對的私鑰  
4.加密完成後刪除自身並退出

因此正常情況下不存在解密方法。

d.函式特徵:

0x03.CrySiS:

a.發展歷史:

CrySiS勒索病毒，又稱Dharma，首次公開露面是在2016年左右，但是此家族樣本的金鑰曾在2017年5月被公佈過，因此這個時間節點之前的樣本可以解密，隨後開始出現此勒索的變種，主要是透過RDP暴力破解的方式入侵併加密勒索。

b.勒索特徵:

會釋放兩個勒索資訊相關的檔案,info.txt內容如下:

Info.hta內容如下：

被加密的檔名如下：

c.加密流程和特徵:

1.使用RC4演算法解密出RSA公鑰
2.使用RDTST讀取CPU啟動時間週期，使用RSA公鑰的SHA1對獲得的時間隨機數進行更新得到256位AES金鑰，用於加密檔案
3.結合CPU啟動週期得到16位元組隨機數，結合RSA公鑰的SHA1對此值進行更新，得到隨機的AES IV，用於加密檔案
4.使用2和3中得到的金鑰和IV對檔案進行加密
5.使用硬編碼RSA公鑰加密步驟2中得到的AES金鑰，將此加密後的結果和步驟3中生成的IV寫入被加密檔案

綜上除非知道RSA私鑰，否則無法解密。根據公開情報，在17年5月舊版勒索曾爆出萬能金鑰，因此該時間節點之前的版本可以解密。

d.函式特徵:

圖片8 CrySiS勒索函式特徵

0x04.Phobos:

a.發展歷史:

Phobos勒索軟體家族與2016年出現的CrySIS/Dharma勒索軟體家族所使用的加密方式、部分程式碼段、勒索信外觀與內容，以及用於加密檔案的命名方式都較為相似。

但不排除為同一作者或Phobos勒索軟體攻擊者購買、利用CrySIS/Dharma勒索軟體相關程式碼的情況。

b.勒索特徵:

會釋放兩個勒索資訊相關的檔案,info.txt內容如下：

info.hta內容如下：

被加密檔案特徵：

c.加密流程和特徵:

1.使用RC4演算法解密出RSA公鑰
2.使用RDTST讀取CPU啟動時間週期，使用RSA公鑰的SHA1對獲得的時間隨機數進行更新得到256位AES金鑰，用於加密檔案
3.結合CPU啟動週期得到16位元組隨機數，結合RSA公鑰的SHA1對此值進行更新，得到隨機的AES IV，用於加密檔案
4.使用2和3中得到的金鑰和IV對檔案進行加密
5.使用硬編碼RSA公鑰加密步驟2中得到的AES金鑰，將此加密後的結果和步驟3中生成的IV寫入被加密檔案

綜上除非知道RSA私鑰，否則在正常情況下無法解密

d.函式特徵:

0x05.Sodinokibi:

a.發展歷史:

Sodinokibi勒索病毒在國內首次被發現於2019年4月份,2019年5月24日首次在義大利被發現，

使用了RDP攻擊的方式進行傳播感染，這款病毒被稱為GandCrab勒索病毒的接班人，

在短短几個月的時間內，已經在全球大範圍傳播.

b.勒索特徵:

c.加密流程和特徵:

1.生成一組金鑰對，公鑰直接儲存在登錄檔中
2.使用攻擊者在配置檔案中的公鑰加密1中生成的私鑰，並將其儲存在登錄檔中
3.使用軟體的硬編碼公鑰加密1中生成的私鑰，並將其儲存在登錄檔中
4.針對每個檔案使用基於1中公鑰生成的Salsa20流密碼加密檔案
5.主動清理記憶體，防止RAM掃描

按照技術手段來說無法解密，網路上報導出售的解密工具很可能包含了作者的RSA的私鑰，但是根據網路訊息，該工具已經出售但並未公開。

d.函式特徵:

0x06.Stop:

a.發展歷史:

該勒索病毒從2018年2月活躍至今，主要利用了合作網站，破解軟體等或捆綁在啟用工具進行傳播，目前已有幾十種變種。

b.勒索特徵:

c.加密流程和特徵:

1、計算MAC地址MD5，作為唯一標識傳送到CC，獲取RSA公鑰，用於加密salsa金鑰
2、如果連線遠端CC失敗，則直接使用內建硬編碼RSA公鑰，用於加密salsa金鑰
3、針對每個檔案生成不同UUID，轉化為36位元組字串，其中前32位元組作為salsa20的金鑰，前8位元組作為IV，用於對檔案加密
4、使用salsa20對檔案加密，其中檔案前五個位元組不加密，加密後寫入檔案
5、使用1或2種的RSA公鑰加密3中生成的UUID，追加到檔案尾部

從技術手段上來說，不存在解密手段。

但是早期部分病毒版本由於其伺服器生成金鑰介面存在缺陷，當第一次請求介面時，伺服器生成返回新的Key資料，而當再次訪問金鑰生成介面，伺服器則會把該mac請求生成過的Key直接返回，針對此bug可拿到金鑰實現解密。

病毒使用Key生成介面失活情況下，病毒會使用離線Key進行加密，在該情況下，配合公佈的大量離線解密金鑰，大機率可以實現解密。

d.函式特徵:

0x07.Maze:

a.發展歷史:

Maze勒索病毒，又稱Chacha勒索病毒，2019年5月份由Malwarebytes安全研究員首次發現，使用Fallout漏洞利用工具包透過偽裝成合法加密貨幣交換應用程式的假冒站點進行分發傳播。

b.勒索特徵:

c.加密流程和特徵:

1、本地生成RSA公私鑰對，
2、生成隨機32位元組key，8位元組Nonce值，集合chacha演算法加密1中生成的RSA私鑰
3、使用內建硬編碼RSA公鑰加密2中使用的隨機key和Nonce值
4、針對每個檔案生成隨機key和Nonce值，結合chacha對稱加密演算法加密檔案
5、利用1中生成的RSA公鑰對4中生成的隨機key和Nonce值進行加密並拼接到檔案尾部
6、將2中被加密之後的RSA私鑰、3中被加密的key和Nonce值以及部分使用者後設資料進行base64，寫入勒索提示資訊

從技術手段上講暫無解密方案，暫時也沒有獲取到公開的金鑰資訊，因此在正常情況下無法解密。

d.函式特徵:

0x08.Nemty:

a.發展歷史:

NEMTY勒索病毒是一款新型流行勒索病毒，首次發現於2019年8月21號，8月24號國外安全研究人員公佈了此勒索病毒的相關資訊，隨後這款勒索病毒快速發展，在不到半年的時間裡，已經發展到了最新的2.5版本，目前這款勒索病毒主要在韓國等地區非常活躍

b.勒索特徵:

c.加密流程和特徵:

1、本地隨機生成RSA金鑰對，用於對AES金鑰加密
2、本地生成隨機AES金鑰，用於加密檔案
3、使用2中生成的AES金鑰對檔案內容進行加密
4、對2中隨機生成的AES金鑰進行BASE64編碼，然後使用1中生成的隨機RSA公鑰加密此編碼，寫入檔案尾部
5、對1中生成的RSA私鑰進行base64編碼，然後使用硬編碼的RSA公鑰對此編碼進行加密，寫入到勒索信中

從技術手段上來講不存在解密手段，但是該樣本早期對Windows Blob(金鑰離線儲存結構體)的使用存在一定問題，因此早期版本可以解密。

d.函式特徵:

0x09.Medusalocker:

a.發展歷史:

Medusalocker勒索病毒家族在2019年10月左右開始進行傳播，已知的傳播手段主要是RDP爆破後手動投毒。

b.勒索特徵:

c.加密流程和特徵:

1.本地生成全域性隨機AES金鑰，用於對所有檔案進行加密
2.使用硬編碼的RSA公鑰對1中生成的隨機AES金鑰進行加密，將被加密的AES金鑰資料寫入檔案尾部
3.從技術手段上來說不存在解密方案，也沒有公開駭客的RSA私鑰，因此無法解密。

d.函式特徵:

0x10.IOCs:

Hash:

GlobeImposter(十二生肖):

7bc3a19408b1b6089ee59490f6aebf4199281bacd3ae4c53d3b1cdff8620bbe5

Makop:

44209a5786e06694f65d435de4125995e88382666deb32fedef42e69ee1be63c

Crysis(Dharma):

ecb5e56faaf6c280df96cec3d86139a7cc2aa1f0a2e288e2f4a08856fabc2fbe

Phobos:

782d18b840c4ea06c51b9dfae728ddd918f38abbb98583c0ac5eb637b0127d8a

Sodinokibi(REvil):

5837b4ba1fd67f23fe1285f47782f17ecbebba7d9cf43cdf9b4f18dcb38ec6e7

Stop(Keypass,Djvu):

573bc80f18e6c1c387f79f60cc8fd67e72bcebd5e188ca7e75e566347b930e16

Maze(Chacha):

e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684

Nemty:

42fb500daf72044ea837a3a4464921a1

Medusalocker:

21c644438a00fb75fabb577076933a99119e9f07e71eaab3f7dc6c629860c4c0

0x11.參考連結:

• 勒索病毒（CrySiS家族）最新變種分析——https://www.freebuf.com/articles/system/181498.html

• Revil或Sodinokibi——https://www.secureworks.com/research/revil-sodinokibi-ransomware

• Stop——https://bbs.360.cn/forum.php?mod=viewthread&tid=15804568

• Maze——https://bbs.360.cn/thread-15826039-1-1.html

• Nemty——https://bbs.360.cn/thread-15826047-1-1.html

• Medusalocker——https://bbs.360.cn/thread-15813669-1-1.html