預警：通過知名遠程桌面工具傳播的BlackRouter勒索病毒

最新 05-10

事件報告

最近國外某安全公司發現新的勒索病毒樣本，新發現的BlackRouter勒索軟體通過與知名的遠程桌面工具AnyDesk捆綁進行傳播，AnyDesk是一款與TeamViewer類似的廣泛使用的遠程桌面工具，能夠在不同的桌面操作系統（包括Windows,MacOS，Linux和FreeBSD）之間進行雙向遠程控制，以及在Android和iOS上單向訪問，使用量非常大。

深信服EDR安全團隊捕獲到相關的樣本，並對樣本進行了詳細分析，勒索病毒作者通過捆綁惡意軟體的方式，將此勒索病毒與AnyDesk工具被捆綁打包在了一起，可能是利用此方法來逃避安全軟體的檢測，深信服EDR安全團隊提醒廣大用戶在下載一些常用軟體的時候，不要到一些垃圾網站或不明網站進行下載，請到軟體的官方網站或官方渠道進行下載使用。

以下是樣本在VT上的截圖信息：

可以發現樣本的文件名和文件圖標等信息都非常具有迷惑性，如下圖所示：

用戶往往會在不知情的情況下運行樣本，導致裡面捆綁的勒索病毒在後台偷偷運行，從而感染用戶主機。

攻擊方式

傳播方式

此勒索病毒主要通過垃圾網站捆綁正常軟體的方式進行傳播。

加密演算法

此勒索病毒使用AES+RSA2048相結合的加密方式，加密相應文件。

樣本分析

(1)樣本母體運行之後，會在臨時目錄釋放ANYDESK.EXE遠程桌面程序和BLACKROUTER.EXE勒索病毒程序，如下圖所示：

然後自動運行這兩個程序，前台運行ANYDESK.EXE遠程桌面程序，後台運行BLACKROUTER.EXE程序，如下圖所示：

樣本運行完成之後，主機中的大部分文件被加密成.BlackRouter後綴的文件，如下圖所示：

同時會彈出相關的勒索信息對話框，如下圖所示：

同時在桌面或相應的磁碟目錄下生成ReadME-BlackRouter.txt的勒索信息文本，文本信息如下：

(2) 勒索病毒母體BLACKROUTER.EXE是經過混淆加密過的，通過de4dot去混淆之後，用dnSpy打開勒索病毒母體，函數體顯示出錯，如下所示：

經過動態調試解密之後，函數體被還原，如下所示：

(3) 此勒索病毒母體會加密如下文件夾下的文件，文件夾列表如下：

%Desktop%

%Documents%

%Favorites%

%Music%

%History%

%System Root%UsersAll Users

%System Root%UsersDefault

%System Root%UsersPublic

勒索病毒會加密上面文件夾里相應文件名後綴的文件，加密後的文件後綴重命名為.BlackRouter，並在相應的目錄生成ReadME-BlackRouter.txt勒索信息文本。

(4) 勒索病毒加密的文件後綴名列表如下所示：

".txt",".doc",".docx",".xls",".xlsx",".ppt",".pptx",".odt",".jpg",".png",".csv",".sql",".mdb",".sln",".php",".asp",".aspx",".html",".xml",".psd",".rar",".zip",".mp3",".exe",".PDF",".rtf",".DT",".CF",".CFU",".mxl",".epf",".erf",".vrp",".grs",".geo",".elf",".lgf",".lgp",".log",".st",".pff",".mft",".efd",".ini",".CFL",".cer",".backup",".7zip",".tiff",".jpeg",".accdb",".sqlite",".dbf","1cd",".mdb",".cd",".cdr",".dwg",".png"

勒索病毒會加密上面這些後綴的文件，使用的加密演算法為AES加密演算法，Key使用RSA2048演算法進行加密。

(5) 刪除磁碟卷影，通過ProcessStart調下如下命令：

"cmd.exe", "/c vssadmin.exe delete shadows /all /quiet"

防止通過磁碟還原方式對文件進行恢復。

(6)通過對近期出現的幾個勒索家族樣本的分析，我們發現最近國外比較流行的幾款勒索病毒使用的加密模塊代碼結構非常相似，而且載入的惡意程序名使用了統一的名稱：SF.EXE，經過分析最近流行的幾個子家族變種：

Spartacus(斯巴達克斯勒索病毒）

Satyr(薩克斯勒索病毒）

BlackRouter（BlackRouter勒索病毒）

可以發現核心的加密模塊代碼非常相似，使用的載入方式不同，樣本運行之後加密後的後綴名分別為：

我們並沒有依據可以得出上面的幾個勒索家族是同一個勒索病毒製作團伙開發的，只是通過分析發現他們的核心加密過程邏輯代碼結構非常類似。

安全思考

思考一：BlackRouter勒索病毒的傳播方式是通過捆綁知名的遠程桌面程序AnyDesk進行傳播，深信服EDR安全團隊一直在密切關注外界的安全動態，發現最近黑客對供應鏈攻擊方式比較感興趣，今年發現的幾個主流的勒索病毒樣本的感染傳播方式大多數是通過RDP爆破或永恆之藍進行內網傳播的，後續這種通過軟體供應鏈，從一些軟體源頭進行感染，然後捆綁相應的正常軟體進行傳播的方式可能會成為下一個熱點，因為很多正常軟體的使用量非常大，同時黑客捆綁軟體的方式也非常具有針對性，這次捆綁的軟體為知名的遠程桌面軟體，使用的用戶量大，而且多用於公司內部人員進行相關的操作，很多企業都有使用這款遠程桌面工具，由此可以看出勒索病毒的感染對象現在主要是集中對企業用戶進行感染，而且黑客非常熟悉企業環境，針對企業用戶可能是因為只有企業用戶才有可能願意付費解鎖。

思考二：深信服EDR安全團隊通過對最近的一批勒索和挖礦樣本的分析，可以得出，黑客使用的技術手段在不斷提高，最近的一批樣本中使用了各種免殺技術和RootKit相關技術，可以預測後面黑客會使用更多的免殺和高級的惡意軟體技術以逃避各種殺軟以及終端安全檢測產品的檢測與查殺，安全對抗也會越來越激烈。

預防措施

深信服EDR已經能精確有效檢測和防禦最新的勒索病毒和已知勒索病毒最新變種樣本，如圖所示：