【51CTO.com快譯】自2016年下半年開始，利用希特勒照片來要求現金代碼(Cash Code)的勒索軟件開始出現，攻擊者利用希特勒的惡名來刺激被感染用戶的心理，但經過對該惡意代碼的研究發現，該惡意代碼尚處于開發初期階段，目前發現的受害案件數量暫時不多，但據預測該勒索軟件有可能如其他勒索軟件一般進化升級并擴大其影響力和破壞力，因此明確掌握其惡意代碼特征與預防方法是極有必要的。

惡性文件分析

◆流程圖

希特勒勒索軟件首先散布ExtraTools.exe文件，執行時又會生成其他惡性文件并執行。

??

希特勒惡意代碼的安裝流程圖

◆詳細分析

- ExtraTools.exe文件分析

ExtraTools.exe包含4個文件，執行時它被放到temp文件夾中，執行bat文件后，其他放入的文件會按順序執行。

??

在temp文件夾中放入文件

- ExtraTools.bat文件分析

觀察其內部的腳本就會發現如下的多種行為。

??

bat文件的內部腳本

簡單整理可以總結為如下4種行為：

① 執行ErOne.vbs文件，雖會出現Error信息，但沒有其他特別的行為;

② 將firefox32.exe文件復制到Startup文件夾，在Windows系統開始時實行;

③ 執行chrst.exe文件并彈出希特勒警告窗口;

④ 將特定文件夾的所有文件的擴展名刪除。

- chrst.exe文件分析

該文件負責UI(用戶界面)，即彈出警告窗告知用戶所有的文件都被加密，若想復原文件，必須在1小時以內購買Vodafone卡并交出現金代碼(Cash Code)，并且會同時監視其他程序，如以下程序被執行則會立刻使其終止。

??

如超過了限制時間，則會找到csrss進程并強制結束。因為csrss負責大部分Win32控制臺和GUI(圖形用戶界面)，所以該進程被強制結束便意味著PC非正常性的強制終止。

??

利用csrss進程非正常終止PC運行

- firefox32.exe文件分析

據推測，該文件是為了刪除自身的痕跡制作而成，運行時，temp文件夾中被放入bat文件并執行。

[圖6]temp文件夾內放入bat文件

觀察bat文件的話會發現，%userprofile%(用戶文件夾)下面的所有文件都已被刪除。

??

bat文件的內部腳本

1小時內如果不發送現金代碼的話，%userprofile%內的全部文件將會在計算機強制再啟動的過程中被全部刪除。

◆采取措施

如果用戶感染了該勒索軟件并在PC上彈出了希特勒警告窗口，用戶需要在PC強制被終止后進入安全模式。為了阻止firefox.exe文件的啟動，用戶需要刪除自動啟動注冊表項目和該文件，這樣做可以防止%userprofile%內文件的損失。

結論

分析希特勒勒索軟件可以發現該勒索軟件的一些破綻，首先雖然它向用戶彈出文件被加密的信息，但其實文件只是被刪除掉擴展名而非真正的加密;其次根據環境的不同，彈出警告窗口有可能尺寸不合適而無法正常顯示;再次，Vodafone的現金代碼也只有一些特定的國家才可以實現該支付手段。

但是如果確認bat文件內的腳本會發現攻擊者標注了‘Das ist ein Test …..’(This is a Test)的字樣，表示這只是一個測試版本，未來有可能會升級并再次出現。通過軟件升級再次出現的事例也有很多，如Cerber和Locky等，因此今后需要密切關注勒索軟件希特勒的動向并引起警惕。

【原標題】[???? ?????] "???" ????(作者：??)

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】