“絕地求生”：深信服EDR讓新型勒索病毒Signer“落地成盒”

背景概述

深信服終端安全團隊捕獲了一個新型的勒索病毒樣本，被加密的文件字尾為.decaf。此勒索病毒的開發者為這個病毒做了偽造的數字簽名，其目的可能是試圖以此來躲過防毒軟體的查殺，因此安全專家將此新的勒索病毒命名為Signer。

勒索信內容如下，其中第一句是“WINNER WINNER CHICKEN DINNER”，讓人不禁聯想到“絕地求生”這款遊戲，玩家常把取得第一名稱為“吃雞”。

樣本分析

樣本情況

勒索病毒樣本本身是一個使用UPX壓縮的Go語言編寫的可執行檔案，只針對64位作業系統進行加密。

文字生成

病毒在被執行起來之後會首先生成勒索文字的字串並放入記憶體，後續的目錄掃描過程中會在每一個被認為是可加密的目錄下放置勒索文字README.txt：

列舉磁碟機代號

勒索病毒將加密每一個邏輯磁碟，它首先會列舉出計算機的所有磁碟機代號，然後將對應邏輯磁碟資訊放入一個結構體中：

然後對列舉出的每一個邏輯磁碟建立一個協程，此協程來負責完成該邏輯磁碟的加密：

掃描檔案原理

此勒索病毒為了提高加密效率，將掃描的磁碟檔案的協程與讀取加密檔案的協程分開來，並使用Channel實現通訊前者只需要持續地遞迴遍歷磁碟下每一個目錄和檔案，並篩選出要加密的檔案，將檔名以字串的形式送到讀取加密檔案的協程。

建立Channel：

 

對於處理每一個磁碟的協程，在執行的過程中又會建立四個協程來讀取檔案資料，並執行加密過程，再建立完讀取加密檔案的協程之後，會呼叫掃描檔案的函式。

 

加密檔案的協程與執行加密過程的函式：

透過receive運算子來獲取到Channel傳入的檔名字串，然後呼叫加密檔案函式，開始對檔案完成開啟，讀取，以及加密等一系列操作。

讀取檔案大小：

 

讀取並擴充套件到16個位元組的檔案內容，並放入棧中：

 

加密資料的方式按照十六個位元組來進行的，加密後的資料存於記憶體中中，等到全部加密資料被計算出以後才一起寫入*.decaf的檔案，最後再將原來的檔案刪除。

掃描檔案的時候，此勒索病毒會指定一些特定目錄和檔案字尾不做加密，透過對目錄名和檔案字尾名進行雜湊匹配來確定不加密的目錄和指定字尾的檔案：

 

目前看來，病毒不會加密字尾為exe、dll、sys的檔案，也不會加密以下目錄：

 

加密流程

病毒使用AES加密演算法對檔案進行加密，每加密一個檔案之前會獲取32個位元組的隨機數值，前16個位元組用於與檔案內容異或，後16個位元組當作AES的金鑰對檔案進行加密，並將AES加密後的內容參與到下一輪異或中。最後將異或金鑰、加密後的隨機字元、加密後的檔案填充到新生成的加密檔案中。

生成32個位元組的隨機字元：

對隨機字元進行加密

使用aeskeygenassist指令生成AES輪迴秘鑰，AES金鑰為隨機生成的後16個位元組：

使用隨機生成的前16個位元組與檔案內容進行異或：

使用aesenc指令對異或後的內容進行加密，並將加密後的內容參與到下一輪異或：

最終填充至新檔案，檔案第二行是異或金鑰，隨後是加密後的隨機字元，最後是加密後的檔案內容：

安全加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案：

1.使用深信服下一代防火牆AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品，均已繼承了SAVE人工智慧引擎，均能夠有效地檢測防禦此類惡意軟體，透過部署此類產品，使用者可進行安全掃描，以保證計算機的安全：

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。