流氓會武功:這款勒索軟件不僅能勒索,還能DDoS
一款名為 FireCrypt 的勒索軟件正悄然來襲。它不僅具備一般勒索軟件的特性,會將受感染的系統文件惡意加密。還會試圖利用受感染者機器,向其源碼中硬編碼的 URL 地址,發起微弱的 DDoS 攻擊。
這個新型勒索軟件,是由 MalwareHunterTeam (惡意軟件獵人小組)發現的。 以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的對該惡意軟件的分析報告。
作為勒索軟件構建套件的 FireCrypt
惡意軟件通常通過從源碼編譯生成,或者通過軟件來自動生成,自動化軟件會采用某些輸入參數,并以此來定制惡意軟件的有效載荷。
后者在業內,被稱為惡意軟件構建器,一般都為 命令行 應用程序或 GUI 的工具。
而 FireCrypt 勒索軟件的作者,則使用的是命令行應用程序。在使用過程中,該應用程序會自動將 FireCrypt 的樣本文件放在一起,允許他修改基本設置,而不需要再使用笨重的 IDE,重復編譯源碼了。FireCrypt 的構建器,被命名為 BleedGreen(見下文),它允許 FireCrypt 作者,給勒索軟件自定義名稱,并使用個性化圖標,來生成一個獨特的勒索軟件可執行文件。與其他勒索軟件構建器相比,BleedGreen 算是一個比較低端的構建器。與其他類似的構建器相比,它的自定義選項少的可憐。例如某些類似的構建器,還會有比特幣收付款地址,贖金值,電子郵件聯系地址等設置選項。
BleedGreen 除了可以將生成的可執行文件 EXE ,偽裝為 PDF 或 DOC 的圖標外,它還會對勒索軟件的二進制文件做細微的改動,以便在每次編譯時,都能生成一個具有不同哈希值的文件。
該技術經常被惡意軟件開發人員,用來創建所謂的“多態性惡意軟件”,這樣做的目的就是盡可能的躲避殺毒軟件的查殺。根據MalwareHunterTeam 的介紹,“BleedGreen 構建器是一款非常低端和基礎的勒索軟件構建器,因此它并不能真正意義上實現免殺。”
不過從這也可以看出,FireCrypt 的作者還是具備一定的惡意軟件開發經驗的,而不是一個只會從 GitHub 下載開源勒索軟件的腳本小子。
FireCrypt 感染過程
能否將 FireCrypt 感染給目標系統,取決于勒索軟件的分發者能否成功誘使目標用戶啟動生成的 EXE 可執行文件。
一旦生成的惡意 EXE 文件被成功觸發,那么 FireCrypt 將會殺死計算機的任務管理器(taskmgr.exe)進程,并使用 AES-256 加密算法,對列表中的 20 個文件類型進行加密。
所有被加密文件的原始文件名和擴展名都將附加“.firecrypt”后綴。例如,名為 photo.png 的文件,將被重命名為 photo.png.firecrypt。
一旦文件加密過程結束,FireCrypt 就會在桌面,彈框警告用戶按其要求支付相應的贖金,以此來換取文件的解鎖。
據 MalwareHunterTeam 介紹說,該贖金彈框與去年 10月14日 小組發現的一款勒索軟件的贖金彈框幾乎是一樣的。
當時發現該勒索軟件時,好像還處于開發階段并未成型。直到今年才發現,有受感染機器的文件被加密。
唯一不同的是,去年發現的那款勒索軟件在贖金彈框頂部放置了一個類似 logo 的標志,而 FireCrypt 卻移除了這個標志。
但是,通過仔細檢查 Deadly 的源代碼,MalwareHunterTeam 發現這兩款勒索軟件,使用的電子郵件和比特幣地址相同,這表明兩者之間緊密相關,FireCrypt 極有可能是 Deadly 這款勒索軟件的升級版。
DDoS 之用垃圾文件填充你的硬盤驅動器
除了加密受感染用戶文件并向用戶索要贖金外, FireCrypt 還會調用其源碼包含的一個函數,該函數會持續不斷地連接到遠程的一個 URL 地址,下載一些垃圾文件,并自動將其保存在你硬盤的 %Temp% 文件下,同時命名為 [random_chars]-[connect_number].html。
如果用戶不知道這個功能,FireCrypt 將會在短時間內,將垃圾文件迅速填充滿你的 %Temp% 文件夾。
當前該版本的 FireCrypt 勒索軟件,將會從遠程連接并下載 http://www.pta.gov.pk/index.php 上的內容,該 URL 為巴基斯坦電信管理局的官網地址。當前,我們無法使用勒索軟件的構建器修改此 URL。
FireCrypt 的作者將此功能稱為 “DDoSer”,他必須感染成千上萬臺的機器,才有可能對巴基斯坦電信管理局的官網發起 DDoS 攻擊。此外,所有受感染的計算機,都必須處于連網狀態,只有這樣才能參與到其發起的 DDoS 的攻擊。
截至這篇文章發布,還沒有發現有效方法來恢復這些被加密的文件。因此,一旦你感染了這種勒索軟件,想要在短時間內恢復文件,則可能不得不按要求支付 500 美元 的贖金來解鎖。相反,如果你實在不愿意或無力支付這筆贖金。那么,請務必保留好這些被加密文件的副本,或許不久以后就會有人放出它的解密器。
定位文件擴展名:
- .txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent
與 FireCrypt 勒索軟件相關聯的文件:
- %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable
- %Desktop%\[random_chars]-READ_ME.html - Ransom Note
- %AppData%\SysWin32\files.txt - List of Encrypted Files
- %Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files
- %Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack
與 FireCrypt 勒索軟件相關的哈希值:
leedGreen 構建器(當前 VirusTotal 掃描結果顯示,在 57 款殺毒軟件檢測中,只有 2 款殺毒軟件,認為它是惡意軟件):
- SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d
一個 FireCrypt 勒索軟件二進制示例(當前 VirusTotal 掃描結果顯示,在 57 款殺毒軟件檢測中,只有 13 款殺毒軟件,認為它是惡意軟件):
- SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f
電子郵件地址和付款聯系人:
EMAIL: gravityz3r0@sigaint.org
