0x00 概述

---

安天安全研究與應急處理中心（Antiy CERT）近期發現勒索軟體TeslaCrypt的最新變種TeslaCrypt 4.0，它具有多種特性，例如：加密檔案後不修改原檔名、對抗安全工具、具有PDB路徑、利用CMD自啟動、使用非常規的函式呼叫、同一域名可以下載多個勒索軟體等。

勒索軟體TeslaCrypt在2015年2月份左右被發現，它是在Cryptolocker的基礎上修改而成。在其第一個版本中，TeslaCrypt聲稱使用非對稱RSA-2048加密演算法，但實際上使用的是對稱的AES加密演算法，由此Cisco（思科）釋出了一款解密工具，在找到可恢復主金鑰的key.dat檔案時，可以解密被TeslaCrypt勒索加密的檔案；但在之後的多個版本中，勒索軟體TeslaCrypt開始使用非對稱的RSA加密演算法，被加密的檔案在無金鑰的情況下已經無法成功解密了，安天CERT發現，TeslaCrypt 4.0在2016年3月份開始出現，使用的是RSA-4096加密演算法。

勒索軟體系列事件的出現，具有多方面原因，其中重要的一點是匿名網路和匿名支付的高度成熟。2016年春節過後，勒索軟體Locky開始爆發，全球多家安全廠商釋出了相應的報告，安天CERT也在2016年2月19日釋出了《首例具有中文提示的比特幣勒索軟體“LOCKY”》；2016年3月底，G-Data和趨勢先後釋出了修改MBR、加密整個硬碟的勒索軟體Petya的報告；2016年4月初，安天CERT開始跟蹤勒索軟體TeslaCrypt 4.0。

0x01 傳播方式

---

勒索軟體TeslaCrypt 4.0利用網站掛馬和電子郵件進行傳播，在國內網站掛馬發現的較少，通常利用瀏覽器漏洞（Chrome、Firefox、Internet Explorer）、Flash漏洞和Adobe Reader漏洞進行傳播；而利用電子郵件傳播的數量較多，安天CERT發現的多起勒索軟體事件也都是透過電子郵件傳播的。

圖 1 利用電子郵件傳播勒索軟體

在分析TeslaCrypt的下載地址時，安天CERT研究人員發現，相同域名下存放多個TeslaCrypt 4.0程式，且檔案HASH各不相同。例如：域名http://***|||pasqq.com，可以下載TeslaCrypt 4.0的地址如下：

• http://***pasqq.com/23.exe
• http://***pasqq.com/24.exe
• http://***pasqq.com/25.exe
• http://***pasqq.com/42.exe
• http://***pasqq.com/45.exe
• http://***pasqq.com/48.exe
• http://***pasqq.com/69.exe
• http://***pasqq.com/70.exe
• http://***pasqq.com/80.exe
• http://***pasqq.com/85.exe
• http://***pasqq.com/87.exe
• http://***pasqq.com/93.exe

另外，其他域名中勒索軟體的下載地址同上，如：23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14時，安天CERT共發現具有下載勒索軟體TeslaCrypt 4.0的域名共50多個，部分域名已經失效。

部分下載勒索軟體TeslaCrypt 4.0的域名：

• ***pasqq.com
• ***uereqq.com
• ***ghsqq.com
• ***rulescc.asia
• ***rulesqq.com

0x02 樣本分析

---

安天CERT共發現近300個勒索軟體TeslaCrypt 4.0。研究人員在其中選擇了時間較新的樣本進行分析。

2.1 樣本標籤

病毒名稱	Trojan[Ransom]/Win32.Teslacrypt
原始檔名	80.exe
MD5	30CB7DB1371C01F930309CDB30FF429B
處理器架構	X86-32
檔案大小	396 KB (405,504 位元組)
檔案格式	BinExecute/Microsoft.EXE[:X86]
時間戳	5704939E -->2016-04-06 12:42:06
數字簽名	NO
加殼型別	未知
編譯語言	Microsoft Visual C++
VT首次上傳時間	2016-04-06 04:07:00 UTC
VT檢測結果	28/57

2.2 使用RSA4096加密演算法加密檔案，但不修改原檔名

該樣本執行後複製自身至%Application Data%資料夾中，重新命名為wlrmdr.exe，設定自身屬性為隱藏，然後使用CreateProcessW為其建立程式。

圖 2 建立wlrmdr.exe程式

樣本在新建立的程式中使用CreateThread開啟執行緒，對全盤檔案進行加密。首先樣本使用GetLogicalDriveStringsW獲取所有邏輯驅動器，成功後使用FindFirstFileW與FindNextFileW遍歷全盤所有檔案，進行加密。

圖 3 遍歷磁碟檔案

加密函式地址為0x0040190A。

圖 4 呼叫加密函式對遍歷到的檔案加密

利用RSA4096演算法加密後，呼叫WriteFile將加密後的資料由記憶體寫入檔案，沒有對檔名做修改。

圖 5 將加密後的資料寫入檔案

加密前後的檔案對比：

圖 6加密前後的檔案對比

2.3 對抗安全工具

樣本會查詢系統中是否存在包含字串的程式並將其隱藏，使用使用者無法“看到”這些工具：

“taskmg”	工作管理員
“regedi”	登錄檔管理器
“procex”	程式分析工具
“msconfi”	系統配置
“cmd”	命令提示符

圖 7 隱藏cmd介面

2.4 具有PDB資訊

樣本具有PDB資訊，其檔名為“wet problem i yuoblem i_x.pdb”

圖 8 樣本的除錯資訊中包含PDB資訊

2.5利用CMD自啟動

樣本呼叫RegCreateKeyExW，將使用CMD啟動自身的程式碼寫入至登錄檔中，使其隨系統開機啟動。

圖 9 利用CMD達到隨系統開機啟動的目的

2.6使用非常規的函式呼叫和跳轉

樣本使用了很多非常規的函式呼叫和跳轉，用來阻止安全人員分析該病毒。

圖 10　非常規的函式呼叫

圖 11　非常規的跳轉

2.7 TeslaCrypt 4.0加密的檔案格式

圖 12 TeslaCrypt 4.0加密的檔案格式

0x03 總結

---

勒索軟體對企業和個人使用者都具有極大的威脅，被加密後的檔案無法恢復，將給使用者造成巨大的損失。解決勒索軟體的威脅問題除安裝安全產品、防護產品、備份產品外，更需要使用者在接收郵件時謹慎小心，慎重開啟郵件附件或點選郵件內的連結，尤其是陌生人郵件。

安天智甲終端防護系統（IEP）可以在使用者誤點選執行勒索軟體時阻止其對使用者檔案進行加密。

0x04 附錄一：參考資料

---

• 【1】安天釋出：揭開勒索軟體的真面目
• 【2】思科釋出：針對勒索軟體TeslaCrypt的解密工具：
  http://www.freebuf.com/sectool/66060.html
  http://blogs.cisco.com/security/talos/teslacrypt
• 【3】首例具有中文提示的比特幣勒索軟體“LOCKY”

0x05 附錄二：安天CERT發現的50多個傳播勒索軟體的域名

---

marvellrulescc.asia	witchbehereqq.com	ohelloguymyff.com
arendroukysdqq.com	isityouereqq.com	joecockerhereff.com
blablaworldqq.com	jeansowghsqq.com	howisittomorrowff.com
fromjamaicaqq.com	marvellrulesqq.com	giveitalltheresqq.com
goonwithmazerqq.com	greetingseuropasqq.com	giveitallhereqq.com
gutentagmeinliebeqq.com	grandmahereqq.com	ohelloguyzzqq.com
hellomississmithqq.com	mafiawantsyouqq.com	jeansowghtqq.com
hellomisterbiznesqq.com	spannflow.com	grandaareyoucc.asia
hellomydearqq.com	ohelloguyqq.com	imgointoeatnowcc.com
helloyoungmanqq.com	bonjovijonqq.com	washitallawayff.com
howareyouqq.com	joecockerhereqq.com	greetingsjamajcaff.com
invoiceholderqq.com	itsyourtimeqq.su	hpalsowantsff.com
itisverygoodqq.com	blizzbauta.com	ohellowruff.com
lenovomaybenotqq.com	yesitisqqq.com	ohelloweuqq.com
lenovowantsyouqq.com	thisisitsqq.com	ujajajgogoff.com
mafianeedsyouqq.com	soclosebutyetqq.com	ohiyoungbuyff.com
mommycantakeff.com	isthereanybodyqq.com	helloyungmenqq.com
thisisyourchangeqq.com	ohelloguyff.com

0x06 附錄三：安天CERT發現的C&C地址

---

• addagapublicschool.com/binfile.php
• kel52.com/wp-content/plugins/ajax-admin/binstr.php
• closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
• coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
• thejonesact.com/wp-content/themes/sketch/binfile.php
• theoneflooring.com/wp-content/themes/sketch/binfile.php
• mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
• myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
• controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
• sappmtraining.com/wp-includes/theme-compat/wcspng.php
• controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
• vtechshop.net/wcspng.php
• sappmtraining.com/wp-includes/theme-compat/wcspng.php
• shirongfeng.cn/images/lurd/wcspng.php
• 198.1.95.93/~deveconomytravel/cache/binstr.php
• helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
• hotcasinogames.org/binfile.php
• goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
• opravnatramvaji.cz/modules/mod_search/wstr.php
• studiosundaytv.com/wp-content/themes/sketch/binfile.php
• theoneflooring.com/wp-content/themes/sketch/binfile.php
• hotcasinogames.org/binfile.php
• pcgfund.com/binfile.php
• kknk-shop.dev.onnetdigital.com/stringfile.php
• forms.net.in/cgi-bin/stringfile.php
• casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
• csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
• grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
• naturstein-schubert.de/modules/mod_cmscore/stringfile.php
• vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
• starsoftheworld.org/cgi-bin/binarystings.php
• holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
• minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
• drcordoba.com/components/bstr.php

0x07 附錄四：關於安天

---

安天從反病毒引擎研發團隊起步，目前已發展成為擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天曆經十五年持續積累，形成了海量安全威脅知識庫，並綜合應用網路檢測、主機防禦、未知威脅鑑定、大資料分析、安全視覺化等方面經驗，推出了應對持續、高階威脅（APT）的先進產品和解決方案。安天技術實力得到行業管理機構、客戶和夥伴的認可，安天已連續四屆蟬聯國家級安全應急支撐單位資質，亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是獲得全球首個AV-TEST（2013）年度獎項的中國產品，全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。