有时候,大多用户为了能够“逃避”下载软件后的注册环节,往往会投机取巧地选择通过注册机激活,来实现软件破解。然而令人想不到的是,注册机其实也暗藏着安全风险。
近期,360数字安全集团接到用户反馈在使用某款“注册机”软件时,系统文件被强行加密。通过对线索和样本的综合分析研判,360安全云发现一款借助破解类工具进行传播的新型勒索软件。该勒索软件会通过向桌面释放勒索信与收款二维码图片的方式,向用户索要2000元人民币赎金。在其开始传播的短短数日内,就已经有数十位用户不幸遭受勒索攻击。
据受害用户反馈,该勒索软件的网盘下载页面会伪装成注册机软件,来诱导用户下载并运行。
以上述伪装成“CSAA11注册机”的勒索软件为例,当用户下载完成后,会发现压缩包中的确含有一个所谓的“KeyGen.exe”主程序。
点击运行该KeyGen.exe程序后,会显出一张正常,甚至可以说是炫酷的注册机界面。
然而,在这个看似正常的注册机界面后台,其实是已经被暗暗加载到内存中,并开始默默运行的“libartual.dll”程序。
该程序虽然以“.dll”命名像是一个动态链接库文件,但实际上是一个可以自运行的“.exe”程序。该程序被加载到内存中执行后,从再次从自身附带的资源数据中获取隐藏的功能代码并解密:
解密成功后,在调用LoadLibrary函数加载这些功能代码来执行核心功能。
被解密出的核心勒索功能被进行了大量混淆,但在去混淆捋清其代码逻辑后,不禁感叹该勒索软件堪称不辞劳苦的“业界劳模”。
首先,在准备“入场”加密前,该勒索软件会先尝试杀掉一些安全软件的进程,来尽可能清理“战场”。然后,其将生成加密用户文件所需密钥的相关随机数,并使用事先内置在代码内的RSA公钥将声称的随机数加密后保存到本地,便可准备在受害用户系统里“杀疯了”。
为了能够“全方位”加密受害用户的系统文件,该勒索软件采用了AES256对称加密算法,并且对大小在50M以上文件采用CFB模式,而50M以下则是CBC模式。
在生成随机密钥时,其也“贴心”地采用两套不同的密钥字符串。勒索软件首先会使用“255个随机字符+Lock+机器硬盘序列号”的格生成一个字符串,之后在对其本身使用内置的RSA公钥进行加密,并写入到勒索信中。
在对50M以上文件进行AES256 CFB算法加密时,其将用随机生成的盐值,对上述随机字符串迭代50000次,生成最终的加密密钥使用。
而对50M以下的文件进行AES256 CBC算法加密时,则将算出上述随机字符串的SHA256值,再用固定的盐值(该样本为:11223344)迭代1000次作为最终的加密密钥使用。
在加密过程中,该勒索软件还会将用户的机器名、硬盘序列号、加密文件的数量、内置RSA公钥加密后的随机字符串等一些基本信息发送邮件到自身邮箱中作为记录。
当加密完成后,该勒索软件会对137种不同扩展名的文件进行加密,所有被加密的文件均会被添加._locked扩展名。同时,其还会在桌面留下一封勒索信。
应该是为了方便受害用户以最便捷最熟悉的形式支付赎金,软件还会同时将一张内置收款码截图,解码后释放到桌面上。
由于该勒索软件在加密过程中登陆了自身邮箱,所以360安全云也顺藤摸瓜的尝试对邮箱进行登录,发现在“已发送邮件”目录中已经有了61封用户信息邮件。
由于当前运营商判定该邮箱每天的可发送邮件数量超限,故推测实际的中招用户可能已经超过我们看到的发件数量:
鉴于近期的勒索攻击事件,建议广大用户切勿随意相信各类破解软件或注册工具的宣传,以免贪图一时的“方便”而给自己带来更多的“麻烦”。同时,也应尽快构建起应对高级威胁防御体系。
360基于多年攻防实战经验和能力推出360安全云,云化数据、探针、专家、平台和大模型能力开放给广大客户,并以安全云为核心打造360防勒索解决方案,构建了有效预防、持续监测、高效处置的勒索病毒防御体系。
作为这套方案的重要组成,360终端安全管理系统集成防病毒、漏洞与补丁管理、Win7盾甲、终端管控、桌面优化、软件管理、安全U盘及移动存储管理等功能于一体,可及时完成对各类勒索病毒的查杀与拦截,目前已实现针对该勒索软件的全面截杀。
想要了解更多详情
欢迎拨打咨询电话:400-0309-360
往期推荐
| |||
| |||
| |||
|