利用Telegram通信的勒索病毒Vendetta，你有見過嗎？

一、樣本簡介

深信服EDR安全團隊，最近捕獲到一款新型勒索病毒家族樣本Vendetta。Vendetta是一款使用.NET框架開發的勒索病毒樣本，會加密主機系統中大部分文件後綴名的文件，加密後綴為.vendetta，同時其具有Telegram通信功能，通過Telegram發送相應的主機進程信息以及加密信息，最後進行自刪除。

勒索信息內容如下所示：

二、詳細分析

1.樣本使用.NET框架開發，無加殼，如下所示：

2.判斷程序是否已經運行，如果已經運行，則退出，如下所示：

3.生成日誌文件log.html，如下所示：

4.判斷系統所在區域，如果為以下國家區域，則退出，如下所示：

相應的國家區域列表，如下所示：

Russian、Russian (Belarus)、Russian (Kyrgyzstan)、Russian (Kazakhstan)、

Russian(Moldova)、Russian (Russia)、Russian (Ukraine)、Bashkir (Russia)、

Chechen(Russia)、Church Slavic (Russia)、Ossetic (Russia)、Sakha (Russia)、

Tatar(Russia)、Ukrainian、Ukrainian(Ukraine)、Azerbaijani、Azerbaijani(Cyrillic)、Azerbaijani (Cyrillic, Azerbaijan)、Azerbaijani (Latin)

Azerbaijani(Latin, Azerbaijan)、Armenian、Armenian(Armenia)、

Belarusian、Belarusian (Belarus)、Kazakh (Kazakhstan)、Kyrgyz、

Kyrgyz(Kyrgyzstan)、Kazakh、Romanian(Moldova)、Tajik、

Tajik(Cyrillic)、Tajik (Cyrillic, Tajikistan)、Uzbek、

Uzbek(Perso-Arabic)、Uzbek (Perso-Arabic, Afghanistan)、Uzbek (Cyrillic)、

Uzbek(Cyrillic, Uzbekistan)、Uzbek (Latin)、Uzbek (Latin, Uzbekistan)、

Turkmen、Turkmen (Turkmenistan)

5.枚舉進程信息，然後生成進程信息文件processes.csv，並寫入進程信息，如下所示：

6.枚舉進程，結束掉相應的進程列表中的進程，如下所示：

相應的進程列表，如下所示：

notepad、devenv、msbuild、taskmgr、spoolsv、skypebackgroundhost、skypeapp、searchui、samsungrapidsvc、redis-server、postgres、perfwatson2、open server x64、openserver x32、open server x86、open server、nginx、named、mysqld、mongod、memcached、jenkins、java、httpd、googleupdate、ftp、chrome、calculator、firefox、winword、microsoftedge、microsoftedgecp、cmsserver、zf、dsq、sqlsrvr、qqeimguard、企業QQ、qqeimplatform、tv_x64、teamviewer 13、wpscloudsvr、WPS服務程序、提供賬號登錄、雲存儲等服務、teamviewer_service、igfxtray、igfxhk、igfxem、igfxcuiservice、tv_w32、ss_privoxy、privoxy、userclient、qqprotect、mqsvc、gnaupdaemon、mysqld-nt

7.隨機生成password，如下所示：

使用RSA的公鑰加密相應的password，並生password文件，如下所示：

RSA的公鑰從公鑰配置文件public.xml中讀取，如下所示：

8.獲取要加密的文件後綴名列表，一共三千多個，如下所示：

9.創建文件加密線程，如下所示：

遍歷磁碟文件，如下所示：

如果文件存放在以下目錄，則不進行加密，如下所示：

相應的目錄列表，如下所示：

%ApplicationData%%AllUsersProfile%%ProgramData%%ProgramFiles%C:IntelC:NvidiaC:intelC:
vidiaC:UsersAllUsersC:UsersAllusersC:UsersallusersC:UsersPublicC:UserspublicC:UsersacdgqDesktopC:WindowsC:ProgramFilesC:ProgramFilesCommon FilesC:ProgramFilesCommon FilesMicrosoftExchange ServerC:ProgramFilesCommon FilesMicrosoft SQL ServerC:ProgramFilesMicrosoftExchange ServerC:ProgramFiles (x86)MicrosoftExchange ServerC:ProgramFilesMicrosoft SQL ServerC:ProgramFiles (x86)Microsoft SQL Server

對遍歷到的目錄或文件進行相關處理，如下所示：

並保存相應的加密文件和非加密文件的文件信息encFiles.json、nonEncFiles.json，如下所示：

加密文件內容，如下所示：

10.加密文件的過程，如下所示：

根據文件的大小，執行不同的加密程序，相應的加密程序如下所示：

加密後的文件為[加密後的原文件名]+vendetta，如果生成的加密後的文件名大於等於248，則使用[原文件名]+vendetta2為加密後的文件名，如下所示：

加密後的文件，如下所示：

11.獲取主機的相關ID，創建Telegram通訊連接，將之前生成的加密密鑰以及進程列表信息通過Telegram發送，如下所示：

12.加密完成之後，通過Telegram發送相應的信息以及生成的配置文件等，如下所示：

13.生成相應的勒索信息超文本文件How to decrypt files.html，如下所示：

並設置為自啟動項，如下所示：

14.最後進行自刪除操作，如下所示：

三、解決方案

深信服EDR產品能有效檢測及防禦此類勒索病毒家族樣本及其變種，如下所示：

深信服安全團隊再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密後的文件都無法解密，注意日常防範措施：

1.不要點擊來源不明的郵件附件，不從不明網站下載軟體；

2.及時給主機打補丁(永恆之藍漏洞補丁)，修復相應的高危漏洞；

3.對重要的數據文件定期進行非本地備份；

4.盡量關閉不必要的文件共享許可權以及關閉不必要的埠，如：445,135,139,3389等；

5.RDP遠程伺服器等連接盡量使用強密碼，不要使用弱密碼；

6.安裝專業的終端安全防護軟體，為主機提供端點防護和病毒檢測清理功能。

*本文作者：千里目安全實驗室，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！