深信服深盾终端实验室在近期的运营工作中，发现了一种新的勒索软件GhostLocker ，GhostLocker 由 GhostSec 领导的多个黑客组织建立。这些黑客组织试图从事网络犯罪活动以求生存，而GhostLocker 似乎是他们的新选择之一。一些勒索软件组织如 Stormous 已经开始使用 GhostLocker 勒索软件，而不是其原始恶意软件。在 10 月 9 日，包括 SiegedSec、GhostSec 和 The Five Families Collective 在内的多个黑客组织宣布推出 GhostLocker。

此次攻击事件似乎包含两个阶段。第一个阶段是一个 C/C++ 编译而来的 64 位释放器程序，存放目录为“C:\Users\John\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”。这意味着该程序将在系统启动时自动运行。第二个阶段是一个 Python 编译而来的勒索程序。这个勒索程序会加密文件，并要求支付赎金才能恢复文件。

第一阶段程序分析：

根据程序的 PID（进程标识符）和执行时的时间戳，在 %TEMP% 目录下创建一个文件夹，文件夹名称为 "onefile_%PID%_%TIME%"。这个文件夹的路径类似于 C:\Users\John\AppData\Local\Temp\onefile_1234_1634567890，其中 1234 是进程的 PID，1634567890 是时间戳。

将程序中的多个资源文件释到 %TEMP%\onefile_%PID%_%TIME目录下的指定文件中。这些资源文件可能包含恶意代码及其他必要的文件，用于后续勒索软件的执行操作。

使用 CreateProcess API 启动释放的 iymjsgyhiotfdswn.exe 程序。CreateProcess 是一个 Windows API 函数，用于创建一个新的进程并执行指定的可执行文件。在这种情况下，iymjsgyhiotfdswn.exe 是被释放的程序中的一个可执行文件，通过调用 CreateProcess 来启动它。

勒索信 lmao.html 被写入用户的 ~/Documents/lmao.html 目录下，并尝试在浏览器中打开该文件。勒索信中包含了被加密文件的信息和受害者ID。勒索信页面还包含了一些次要通知，解释了文件被加密的原因以及如何联系勒索者以恢复文件。页面底部还包含了一些注意事项，包括不要支付赎金给其他人、不要重命名加密文件、不要尝试使用第三方软件解密数据等。

第二阶段勒索程序分析：

(1) 下载并启动watchdog.exe

从 http://88.218.62.219/download 链接下载文件到 C 盘根目录，并将其重命名为 watchdog.exe，watchdog.exe使用Nuitka 编译，该程序的作用是在勒索程序无法启动时重新启动它，以确保勒索功能能够执行。当勒索功能执行完毕后，看门狗程序会删除勒索程序，以防止安全人员分析。

(2) 勒索软件分析

勒索程序使用 Fernet 加密算法对文件进行加密，并添加 .ghost 后缀。Fernet 是一种基于对称密钥的加密算法，使用 AES 算法和 HMAC 进行加密和签名。在代码中，使用 Fernet.generate_key() 生成一个随机的密钥，然后使用该密钥对文件进行加密。

勒索程序会将受害者ID、加密密钥和受害者计算机名称发送到指定的 URL。它还会对 C 盘下的所有文件进行加密，并将桌面背景设置为空白，以突出勒索信息。

GhostLocker 勒索软件的最新版本采用了Nuitka 编译器，该工具可以优化并将Python代码转换成C语言，然后编译成机器码，以提高性能并创建独立可执行文件。分析表明，新版加密器可能仍在开发中，因为缺乏基本的加密文件等功能。

MD5

dfbaa667c07fdd5ad2543ce98d097027

bdc119efae38ea528c10adbd4c9000e4

bea3d03f686c73622f08b1f0f8ec5b43

cd906ad0553a176d8737b4b85109687c

074beb2b62147a4a037577e985fff913

81a136029d29d26920c0287faf778776

dfb5e2963e9bc48c904f4ac5978fe9ea

9c66d8fde4e6d395558182156e6fe298

00c69252bc0e896e2a8b0a9a3d68e41e

4119af0c5a12d6153e19514b4be993c4

8506b32ea38dc3a844e72051750a75d9

e6ec894f69899d14e3e8581939fe0685

URL

http://88[.]218.62[.]219/download

http://88[.]218.62[.]219/

https://88[.]218.62[.]219/download/

http://88[.]218.62[.]219/downloadp

http://88[.]218.62[.]219/downloadastatus_codel

http://88[.]218.61[.]141/addaCrypticMastera__main__a__module__auserConfiga__qualname__uchrome.exeaproces

http://88[.]218.61[.]141/adda__main__a__module__auserConfiga__qualname__uchrome.exeaprocessesuC:/Users/%25

http://88[.]218.61[.]141/

http://88[.]218.61[.]141/addp

http://88[.]218.61[.]141/incrementLaunchesT

http://88[.]218.61[.]141/incrementLaunches

http://88[.]218.61[.]141/add

http://195[.]2[.]79[.]117/

1. 为本地和域账户设置强密码策略，定期更改账号密码

2. 及时更新操作系统和软件，使用杀毒软件定期查杀。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，aES全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护；但建议更新最新版本，取的更好防护效果。