勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

雖然趨勢科技所看到的大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)只針對儲存在本地磁碟、可移除式媒體和網路分享上的特定檔案類型或資料夾,我們也發現到有些勒索病毒並不挑剔:HDDCryptor。被偵測為Ransom_HDDCRYPTOR.A的HDDCryptor不僅會針對網路分享的資源,如透過伺服器訊息區塊(SMB)分享的磁碟、資料夾、檔案、印表機和序列端口,還會鎖住磁碟。這種破壞性作法讓此勒索病毒成為家庭用戶及企業嚴重而真實的威脅。

圖1、勒索信的照片;HDDCryptor使用寫死的惡意軟體ID(123141),這意味著運作者可能只用單一的解密金鑰。
圖1、勒索信的照片;HDDCryptor使用寫死的惡意軟體ID(123141),這意味著運作者可能只用單一的解密金鑰。

 

感染媒介和安裝方式

HDDCryptor可能是透過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索病毒的安裝方式是將數個組件(正常或惡意的都有)植入系統的根目錄:

  • dll(偵測為Ransom_HDDCRYPTOR.A)
  • exe(用來加密磁碟)
  • exe
  • sys
  • txt(惡意軟體活動日誌)
  • EXE(掃描掛載中的網路磁碟和加密儲存在上面的檔案)
  • exe(用來掃描之前存取過的網路資料夾)
  • txt(用來儲存關於掛載網路磁碟的資訊)
  • txt(用來儲存使用者密碼)

它還會加入一個名為DefragmentService的服務並且透過命令行加以執行,好持續存活在系統內。

網路硬碟加密

深入研究HDDCryptor,我們發現它關於網路的行為並不穩定。有些樣本並沒有看到散播的行為,有些則可以看到網路加密行為。執行它的一個組件mount.ext可以發現以下功能:

  • 列出所有掛載中的磁碟並加密所有檔案
  • 找出之前連接過的磁碟或快取的已離線網路路徑,並且用exe來取得連線認證加以連接

不用任何參數執行mount.exe可以透過Windows的磁碟區管理功能GetLogicalDrives列出所有掛載的磁碟和加密儲存在上面的所有檔案。

圖2、程式碼顯示mount.exe能夠列出磁碟
圖2、程式碼顯示mount.exe能夠列出磁碟

 

為了要取得之前連接過的網路資料夾(但不是掛載過的網路磁碟),HDDCryptor使用一個網路密碼回復免費軟體(netpass.exe)。這個工具可以取得目前連線的認證資訊,將結果存入名為netpass.txt的檔案。

在同時,連接的磁碟快取被存入名為netuse.txt的檔案。接著利用這兩個檔案來存取位在網路快取內的資源(即便已經斷線)或任何之前存取過的網路分享。下圖顯示出mount.exe程式碼使用了上述檔案:

 圖3、mount.exe程式碼顯示利用儲存的.txt檔案
圖3、mount.exe程式碼顯示利用儲存的.txt檔案

 

圖4、HDDCryptor加密網路磁碟的截圖
圖4、HDDCryptor加密網路磁碟的截圖

 

 

 

圖5、log_file.txt的螢幕截圖顯示HDDCryptor的惡意活動
圖5、log_file.txt的螢幕截圖顯示HDDCryptor的惡意活動

 

 

圖6、DiskCryptor的屬性截圖顯示其過期的憑證
圖6、DiskCryptor的屬性截圖顯示其過期的憑證

 

HDDCryptor透過DiskCryptor來使用磁碟和網路層級的加密,這是個開放程式碼的磁碟加密軟體,支援AES、Twofish和Serpent加密演算法,在XTS模式還可以使用組合的演算法。它還會利用DiskCryptor來覆寫主開機記錄(MBR),並加入修改過的開機程序來顯示勒索信,而非使用電腦的正常登入畫面。

在我們所執行的部分樣本中,系統在經過兩小時全磁碟加密後被強迫重新啟動(沒有經過使用者的互動),而在其他樣本中,受感染電腦會被重新啟動兩次。

有趣的是,我們所分析的樣本所產生的DiskCryptor檔案跟DiskCryptor下載網頁所提供的相同。除了含有過期的憑證,軟體本身自2014年9月7日就沒有再更新。不過另一方面,HDDCryptor的運作者所使用的netpass.exe是修改過的版本。此勒索病毒所帶來的檔案具備自己的屬性,例如將版本資訊從檔案中移除。我們已經聯繫這些軟體的開發者並且分享我們對此勒索病毒的分析。HDDCryptor就跟「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)一樣,實現了如何只要用最少了努力做最多的事情。重點是HDDCryptor如何地利用了商業軟體來完成其惡意目的,最終如何影響使用者和企業來替這些網路犯罪活動買單。

趨勢科技的勒索病毒解決方案

勒索病毒持續地對使用者造成嚴重的破壞,而且看來只會讓損失越來越大。考慮到HDDCryptor會對使用者所造成的嚴重傷害,特別是對企業用戶,關鍵是到位的預防措施,例如 3-2-1 備分原則,以及具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

保護企業

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security  可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

魚叉式網路釣魚防護

惡意軟體沙箱

IP/網頁信譽評比技術

檔案漏洞攻擊偵測

端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

勒索病毒行為監控

應用程式控管

漏洞防護

網頁安全

網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

網路流量掃描

惡意軟體沙箱

防止橫向移動

伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

保護網頁伺服器

漏洞防護

防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

勒索病毒行為監控

IP/網頁信譽評比技術

保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

IP/網頁信譽評比技術

勒索病毒防護

 

偵測為Ransom_HDDCRYPTOR.A的相關雜湊值:

 

SHA-1:

177843629CD1DC4345B03E48574EED12D0551CE6

263D14F535C264AA254FBEE0B66E94A32C156A4C

4080BB3A28C2946FD9B72F6B51FE15DE74CBB1E1

719C3B897826169190FFCAF8EC111E78ACD1613E

C63AFCE8C54362A6D626F660C3A15CEC3E723C1C

6A5250A24439CB760E91C228B56D991A717E556A

 

SHA-256:

e141f564003773d4fe3ef462458a041a871699fb7dc646632cf00afac4870779

1b44a3b1dec865a96e44f2b556f19682fd844ebe3e7b0577bd7e58d307fcba4f

2ecc525177ed52c74ddaaacd47ad513450e85c01f2616bf179be5b576164bf63

 

 

@原文出處:BkSoD by Ransomware: HDDCryptor Uses Commercial Tools to Encrypt Network Shares and Lock HDDs 作者: Stephen Hilt和William Gamazo Sanchez)