新型勒索病毒Mindlost
1月15日,安全研究組織MalwareHunter發現了Mindlost勒索軟體的第一批樣本。
阿里雲安全團隊第一時間對該勒索軟體進行了技術分析。通過此分析報告,希望給業界研究者提供參考依據,並為可能受到影響的企業與機構,提供安全建議。
一、 概述
阿里雲安全團隊分析後發現,該病毒運行後會」隱藏」自己,然後後台加密採用隨機秘鑰的128位的aes演算法,加密樣本賬戶的電腦的Users目錄下的文件,如果後綴為".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"的文件就直接加密,且解密贖金達到200美元。其加密完成後顯示的提示圖片如下:
被加密的企業和個人,需要通過在線網站使用信用卡的方式支付贖金。
根據目前披露的信息,該勒索軟體並未大量主動分發,嚴重性不及WannaCry 和 Petya。阿里雲安全團隊推測,這是一個正在開發中的勒索軟體。
但從樣本的變化看,後續可能會有新的版本和變種出現;我們會持續關注,針對勒索軟體的防護和處理建議。
二、技術分析
Mindlost勒索病毒的執行流程如下:
2. 技術實現細節:
該Mindlost勒索病毒的是一個由C#語言編寫的程序,且該病毒作者還採用AgileDotNetRT.dll反編譯插件,將所有代碼全部混淆,增加了反編譯難度。具體功能實現細節如下:
a.將自己寫入註冊表,實現自啟動:
b.檢測虛擬機:
c.檢測該樣本賬戶機器是否已經被加密過,如果該樣本賬戶的uuid已經在他的伺服器資料庫中,且沒有支付贖金,則不再加密該樣本賬戶
d.創建aes的隨機秘鑰的代碼如下:
e.獲取樣本賬戶C:\Users目錄下的所有文件,如果文件後綴為".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"則對該文件進行加密,被加密文件的後綴為.enc,如果文件目錄是載"Windows","Program Files","Program Files (x86)"目錄下,則放棄對該目錄文件的加密,最後如果C:\Users目錄下沒加密的文件則被刪除。
f. 加密完成後,會將加密的私鑰上傳到病毒作者的伺服器上,代碼如下:
g.下載提示樣本賬戶付款的圖片,且將該圖片改成該樣本賬戶電腦的桌面背景,代碼如下:
三、 C&C地址分析
在分析代碼的過程中,我們發現了該病毒連接資料庫伺服器和樣本賬戶名和密碼:
Data Source = victimssqlserver.database.windows.net;
user id=daniel;
password=Lifsgledi979
四、 補充信息和防護建議
目前,阿里雲安全團隊總共獲取到Mindlost的6個樣本文件,通過時間戳分析,最早編譯時間在2018.01.15, 此時的樣本並未做代碼混淆。
在2018.01.25編譯的版本中,已經對代碼做了混淆。但所有樣本都包含調試信息,其中較為敏感的是pdb文件路徑」
/Users/danielohayon/Documents/Mindlost/Mindlost/Mindlost/Encryptor/obj/Debug/Encryptor.pdb」,Mindlost的名字也是來自於此,路徑中還包含了樣本賬戶名danielohayon,由此猜測該勒索病毒還在開發中,就被已各安全人員發現。
當然,也不排除作者故意留下關鍵路徑迷惑大家。
像這樣的勒索軟體樣本,阿里雲安全團隊每天都會處理很多,大多都能通過及時的預警,病毒庫與防禦規則更新,將其在雲上的影響降至最低。截至2月3日,阿里雲平台客戶不受MindLost勒索軟體影響。
TAG:阿里雲 |