回归最本质的信息安全

;

新型勒索软件:利用GNU Privacy Guard加密文件

2018年3月23日发布

37,917
0
0

导语:McAfee实验室最近发现了一种新的勒索软件变种,它依赖于开源程序GNU隐私保护(GNU Privacy Guard )(GnuPG)来加密数据。GnuPG是一种混合加密软件程序,它使用传统的速度对称密钥加密技术和公钥加密技术相结合,以简化安全密钥交换。

McAfee实验室最近发现了一种新的勒索软件变种,它依赖于开源程序GNU隐私保护(GNU Privacy Guard )(GnuPG)来加密数据。GnuPG是一种混合加密软件程序,它使用传统的速度对称密钥加密技术和公钥加密技术相结合,以简化安全密钥交换。

尽管使用GnuPG加密文件的勒索软件并不独特,但也并不常见。

我们分析了恶意软件GPGQwerty的以下SHA-256散列:

· 2762a7eadb782d8a404ad033144954384be3ed11e9714c468c99f0d3df644ef5

· 39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502

· f5cd435ea9a1c9b7ec374ccbd08cc6c4ea866bcdc438ea8f1523251966c6e88b

我们发现这些散列需要许多支持文件才能成功执行。这三个文件本身不会加密任何东西。GPGQwerty由一个文件包组成,文件包里的文件同时运行来加密受害者的机器。文件包包含十个文件:

1-1.jpg

该勒索软件最早出现在三月初。通常,这种类型的恶意软件通过垃圾邮件、恶意附件、漏洞或欺诈性下载传播。在hxxp://62.152.47.251:8000/w/find.exe野外发现了二进制39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502;它可能是“路过式”下载策略的一部分,或者是托管在合法网站上。

Key.bat、run.js和 find.exe是在加密过程中扮演重要角色的三个文件。感染过程遵循下面这条路径:

2.png

分析

二进制find.exe文件有8个部分,其its .bss部分原始大小为零。

3.jpg

它还有一个不寻常的时间和日期戳:

4.jpg

该文件包含恶意线程本地存储(TLS)回调函数作为反分析技巧。通常,这种技术允许可执行文件包含恶意的TLS回调函数,以便在可执行的头文件中,在AddressOfEntryPoint字段(二进制的正常执行点)之前运行。

5.png

该操作首先执行批处理文件key.bat。它导入密钥并通过执行JavaScript run.js在受害者机器上启动find.exe。batch和JavaScript文件的内容如下面的代码片段所示:

6.jpg

7.jpg

该勒索软件使用命令行工具taskkill来终止一些选定的正在运行的任务。该命令可以通过使用进程ID或图像文件名选择终止任务或进程。在下面的代码片段中,我们看到该命令通过使用图像文件名称强制终止某些进程。

8.png

勒索软件尝试使用GnuPG(gpg.exe)加密数据。该恶意软件会将扩展名.qwerty附加到加密文件:

9.png

该恶意软件用shred.exe覆盖原始文件:

10.jpg

在加密之后,勒索软件会提供一个唯一的ID来识别每个受害者。它还创建一个.txt文件,该文件声明计算机上的所有文件都已被锁定,受害者必须付费才能解密文件。

11.png

GPGQwerty使用Windows效用del删除回收站:

12.png

勒索软件使用“vssadmin.exe Delete Shadows /All /Quiet,”命令,悄悄地删除了来自目标系统的卷影备份(vssadmin.exe,、wmic.exe),从而防止受害者恢复加密的文件。它还会删除备份目录(wbadmin.exe),并在启动时禁用自动修复(bcdedit.exe):

13.png

Yara规则检测到GPGQwerty:

rule crime_ransomware_windows_GPGQwerty: crime_ransomware_windows_GPGQwerty
{
meta:
author = “McAfee Labs”
description = “Detect GPGQwerty ransomware”
strings:
$a = “gpg.exe –recipient qwerty  -o”
$b = “%s%s.%d.qwerty”
$c = “del /Q /F /S %s$recycle.bin”
$d = “cryz1@protonmail.com”
condition:
          all of them
}

McAfee建议所有用户尽量使自己的反恶意软件产品保持最新。McAfee的产品通过DAT版本8826及比其更新版本,检测到该恶意软件是Ransomware-GKF!〔部分散列〕。欲了解更多关于勒索软件的问题,请访问NoMoreRansom.org。

本文翻译自:https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/,如若转载,请注明原文地址: http://www.4hou.com/technology/10841.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

鲁班七号

这个人很懒,什么也没留下

发私信

发表评论