新型勒索病毒只炫技不要錢或跟風“WannaRen”

2020-04-24 Comments 0 Comment

近日，有多位網友向火絨反饋遭遇勒索病毒攻擊，攻擊者通過一款後門病毒向用戶植入了該勒索病毒。通過查看和分析樣本發現，該勒索病毒為易語言編寫，加密文件後追加字符“_HD”，與以往常見的勒索病毒不同的是，該勒索病毒並沒有留下任何联系方式與勒索贖金的信息，但包含了一段可逆的解密算法和“我是勒索，求逆算法”的挑釁信息，並留下了部分解密線索。

最終，火絨工程師根據其中的解密算法和線索成功破解該勒索病毒。

工程師一邊對後門病毒進行溯源分析，同時升級產品增加防禦規則，阻斷病毒傳播渠道（詳見報告《黑客通過遊戲外掛植入後門病毒彈窗叫囂“殺毒無用”》）；一邊分析並順利破解該勒索病毒，推出相應的解密工具（https://down5.huorong.cn/ransom/HDLockerDecryptor.exe）。火絨軟件（個人版、企業版）現已可以攔截、查殺上述後門與勒索病毒。

解密工具圖

另外，用戶也表示，病毒作者甚至曾使用QQ小號（118****046）聯繫過他，並引導其將勒索病毒發到火絨論壇進行求助。根據中文聊天記錄、彈窗消息與易語言編寫病毒等特徵來看，基本肯定為國人所為，且其目的並非為了獲取解密贖金，只是為了向用戶和安全廠商炫耀技術並進行挑釁。此外，不排除該病毒作者有跟風4月初爆發的，同樣是易語言編寫的勒索病毒“WannaRen”的嫌疑。

事實上，由於易語言上手較為容易，契合國人語言環境，在國內傳播較為廣泛，使用者偏多。同時這也導致一些利用易語言編寫勒索病毒並攻擊用戶的案例開始逐漸增長，甚至出現本文所述的“只為炫技，不為錢財”的勒索案例。對此，火絨也會持續關注此類勒索病毒以及相關案例，並及時完善防禦規則，保護用戶安全，如果您遭遇上述勒索病毒攻擊，可隨時聯繫我們獲取幫助。

再次提醒廣大網友，對於絕大多數勒索病毒而言，除非作者主動提供解密私鑰（如“WannaRen”勒索病毒），否則依舊無法破解。為了避免被勒索病毒加密造成損失，大家應該做到對重要資料經常備份，保持良好的上網習慣，不隨意安裝使用非官方軟件，不點擊陌生的郵件及附件、鏈接，及時修復系統漏洞，並安裝合格的安全軟件。

附：【分析報告】

一詳細分析

在上篇《黑客通過遊戲外掛植入後門病毒彈窗叫囂“殺毒無用”》報告中，我們曾提到過黑客通過後門病毒投放勒索病毒，加密用戶數據文件。甚至更奇葩的是，病毒作者還留下了“我是勒索，求逆算法”的字符串。而且在嘗試解密的過程中，我們發現用於解密的8個字節隨機數據中，病毒作者刻意只將其中的4個字節記錄在私鑰所在文件中，其餘的4個字節需要以暴力破解的方式獲得。相關數據，如下圖所示：

相關數據

該勒索病毒會被釋放到後門病毒所在目錄中名為TRAE.exe的文件，勒索病毒執行後會通過DES算法加密數據文件，並將隨機生成的DES密鑰使用ECC（橢圓曲線加密算法）加密存放在被加密文件中，被加密後的文件名會被追加“_HD”。被加密的數據文件目錄，如下圖所示：

被加密文件目錄情況

勒索說明文件

與以往的勒索病毒不同的是，該勒索病毒加密用戶文件後並沒有留下用來支付贖金的支付地址。在用戶未安裝安全軟件的情況下，病毒作者主動提出讓用戶找安全廠商進行解密。且在一段時間內，我們連續收到了多個與該勒索病毒相關的用戶問題。用戶反饋情況相關截圖，如下圖所示：

論壇用戶反饋信息

用戶反饋聊天記錄

勒索病毒會隨機生成ECC私鑰和公鑰，之後病毒代碼會將ECC私鑰和ECC私鑰的CRC32進行拼接，再經過混序（混序依據為8字節隨機數據的MD5值）和異或（異或密鑰隨機）加密後最終會被寫入到“ECC加密.log”文件中。用戶文件數據被DES算法加密，加密所使用的DES密鑰隨機且每個文件所對應DES密鑰不同，DES密鑰會被ECC公鑰加密存放在被加密文件中。勒索加密流程，如下圖所示：