加密勒索软件：Double click for ransomware分析和预防

近日，Avira Virus Lab发现一波新的Locky勒索软件，主要加密照片、文档等贵重文件，如果不支付赎金就无法获取解密密钥，也就不能读取这些加密的文档。

概览

勒索软件通过Office word文件进行传播，不仅可以通过Microsoft Office传播，还可以通过Libre Office等软件。恶意软件作者欺骗用户双击信封，双击这个简单的操作背后进行的动作会导致用户的重要文件被加密。加密方法把文件的后缀改为“.asasin”，并把其他文件加上上支付详情。

这些文件一出现在用户电脑上，Avira公司的人工智能系统就成功检测到了这些潜在的威胁，如果用户电脑发现，反病毒软件会弹窗说明发现了HEUR/APC威胁。而且，Avira通过更新机制向用户传递一个叫做“TR/Locky”的签名。

技术细节

Word背后的这个图片，指向的是一个LNK文件（Windows快捷方式）。

把这些命令输入文本编辑器中，我们可以看到这个lnk快捷方式就运行一个powershell脚本：

脚本的作用是从脚本中嵌入的链接下载另一个powershell脚本，然后用Invoke-Expression函数执行脚本。

第二个脚本会连接到网络并下载一个Windows可执行文件 “losos1.exe” 到%temp%文件夹。Lost1.exe是用VC2013编译，使用了多重代码混淆来迷惑分析师，让人们认为这是一个非恶意的文件。

exe中含有许多无用的字符串

exe中内植了许多恶意的误导信息，会让用户以为这是一个合法的Microsoft应用：

新进程被创建后，恶意程序会把自己复制成“svchost.exe”，并创建一个自己的实例然后删除第一个执行文件；

检查下面的mutex来验证恶意程序是否在系统中运行：

· “GlobalCa4a2aDa1aGaFa3a9aGa3a9aBa9a:aCa”

收集关于操作系统的信息，然后加密发送给C&C服务器获取加密密钥：

· Param: id=[..]&act=getkey&affid=[..]&lang=en&corp=0&serv=0&os=Windows+7&sp=1&x64=1&v=2

· user-agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)

样本:
e49c6973ddcc601cfb85b451e122903b1a9c036c8baafc35cb327f76b998c537
423dc1aaaed311349f9932a643a032d18f0589b97275b501a7a7f6955f5aac46

如何预防勒索软件

1. 安全地备份

备份重要的数据和文件是很重要的，这样攻击者就没有勒索的筹码了。如今，勒索软件的攻击变得越来越熟练了，有时候也会加密外部存储上的备份文件。用户应该经常备份到云端和外部设备，还可以备份到和电脑网络不连接的地方。

2. 更新系统

很多恶意软件针对的人群是运行一些有特定漏洞的过时软件，攻击者可以利用这些漏洞黑进系统。因此，保持系统更新和打补丁可以减少被感染的概率。一些恶意软件也会伪装为更新通知，因此如果不确定更新通知的真实性，可以直接到软件官网去下载更新。

3. 反病毒软件和防火墙

使用杀毒软件和防火墙可以帮助用户识别威胁和可疑的行为。恶意软件的开发者经常会更新来防止被检测到，因此应该采取多种预防措施。

4. 教育和培训

告诉你和身边的人不要点击问卷链接和其他可疑的附件。同样，系统管理员限制员工对网络的访问权限也很重要。这会减少整个网络被勒索软件感染的风险。