最具同情心的勒索軟體套件Philadelphia

新聞 04-23

前言

最近，一種新型的勒索軟體服務（RaaS）名為Philadelphia，開始向外以400美元的價格售賣，這個惡意軟體作者的名為Rainmaker。據Rainmaker所說，該程序套件提供一種低成本的勒索軟體服務，它允許任何一個有犯罪意圖的人發動高級的勒索軟體攻擊，並且它操作簡單，成本低。

同時，據Rainmaker介紹，Philadelphia「創新」勒索軟體服務市場，它具有自動檢測功能：當付款已經完成，然後自動解密；感染USB驅動器，並通過網路感染其他計算機。特別值得注意的是，「同情按鈕」將提供給賦有同情心的犯罪分子解密特定受害者的文件。為了演示這種新的勒索軟體服務，Rainmaker創建了一個顯示其功能的

PDF和視頻

。

感染癥狀

當文件被加密後，文件名稱將被更改為.lock後綴的文件名。例如文件test.jpg可能會變成7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. 加密完成後會顯示下面的鎖屏圖像：

如上圖所示，受害者被要求支付0.3比特幣，並且勒索軟體聲稱加密文件的演算法使用了AES-256和RSA-2048。最後勒索軟體作者將重要的事情說了3遍——發送0.3比特幣到下面的地址！！！

樣本分析

通過進一步觀察，該惡意軟體是由AutoIT腳本編寫並打包生成。通過反編譯該AutoIT惡意程序，我們發現了其中的兩個不同的版本。因此我們將分別分析它們。

V1.0

將自身拷貝到%appdata%scvhost.exe，並且列出了待加密文件的類型：

添加開機自啟動：

待加密的目錄：

加密加密硬碟，可移動硬碟，網路映射：

經過混淆的加密文件演算法：

用於加密的 Windows 庫函數的初始化：

經過對上面混淆過後的代碼回溯跟蹤和分析，函數 _48E2CB6BE0E16950() 用來加密文件，變數$48E2CB6BC77D6950是加密文件函數的一個重要參數，繼續向上找發現該變數的初始化代碼：

GLOBAL CONST $48E2CB6BC77D6950 = 26128 //0x6610 CALG_AES_256

正如惡意軟體所描述的，採用了AES-256加密演算法，但是我們沒有看到RSA加密演算法。

生成隨機數作為密鑰：

V2.0

新的版本在大的功能方面和核心演算法方面並沒有太大的變化，故不作重複列舉，以下只列出與舊版本不同的部分。

通過反編譯我們發現，新版本的勒索軟體Philadelphia釋放了一個INI文件作為惡意軟體的配置文件。

互斥體名，UAC，C2，提示信息：

待加密的目錄：

待加密的文件類型，釋放的文件名，文件路徑：

由此我們可以看出，新版本的惡意程序擺脫了」硬編碼」，通過設置配置文件來根據需要更改加密的具體細節。除此之外，我們在新版本中還發現一個有趣的地方：

處於好奇，我們Google此人」Fabian」，我們發現此人很可能是 Fabian Wosar，此人正是 Emsisoft 的反病毒研究員，繼續搜索我們發現，此前Emsisoft 宣布可以解密勒索軟體Philadelphia。但是從代碼分析來看，新的版本加密文件的演算法依然是AES-256，由此我們得出此勒索軟體加密後的文件依舊可以解密而不需要交贖金。由此再來看這段代碼，讓人啼笑皆非。

最後，惡意程序將上傳受感染者計算機的相關信息到攻擊者的伺服器：

勒索軟體

管理

客戶端

對於發動Philadelphia勒索軟體的攻擊者，他們需要在網站上安裝一個名為」網橋」的PHP腳本。這些」網橋」將與勒索軟體感染者連接，並存儲有關受害者的加密密鑰等信息。然後，攻擊者在其計算機上運行名為Philadelphia總部的管理客戶端，該管理客戶端將連接到每個配置的」網橋」，並將受害者數據下載到其管理控制台。這個客戶端允許攻擊者看到誰被感染，哪些國家感染最多，甚至如果有同情心的攻擊者想允許某人免費解密他們的文件，甚至提供憐憫的按鈕。如圖：