趨勢科技發現一個新加密勒索軟體 Ransomware有著新的行為,包括讓加密過的檔案看起來像是被隔離的檔案。這些檔案被加上* .VAULT副檔名,而防毒軟體服務會將檔案隔離上一段時間。防毒軟體通常會將可能對受感染系統造成進一步傷害的檔案加以隔離。
到達媒介
這惡意軟體以電子郵件附件檔的形式進入受影響的系統。當使用者執行惡意附加JavaScript檔案,它會從C&C伺服器下載四個檔案:
- 偵測為A的加密勒索軟體
- SDelete – 微軟的Sysinternals工具(會被惡意軟體改名為exe)
- GnuPG – 可執行的開放原始碼加密工具(會被惡意軟體改名為exe)
- GnuPG的程式庫(會被惡意軟體改名為dll)
感染鏈
惡意腳本會在下載上述檔案後執行加密勒索軟體 Ransomware。下載的檔案被儲存在%User Temp%資料夾。
圖1、郵件附檔名為 – Akt_Sverki_za_2014_year_Buhgalterija_SIGNED-ot_17.02_2015g_attachment.AVG.Checked.OK.pdf.js
趨勢科技觀察到網路犯罪分子可能故意加入已知防毒掃描日誌(如AVG,微軟)內的字串以繞過它們的掃描引擎。
加密行為
一旦執行,惡意軟體會安裝一個稱為GNU Private Guard(GnuPG)的開放原始碼加密工具到受影響系統上,開始了加密過程。該檔案會生成RSA-1024的公鑰和私鑰以用來加密檔案。
圖2、GnuPG生成的檔案(私鑰 – secring.gpg和公鑰 – pubring.gpg)
然後,它會尋找下列副檔名以進行加密:
- *.xls
- *.doc
- *.rtf
- *.psd
- *.dwg
- *.cdr
- *.cd
- *.mdb
- *.1cd
- *.dbf
- *.sqlite
- *.jpg
- *.zip
https://blog.trendmicro.com/trendlabs-security-intelligence/files/2015/03/Crypvault_fig-3-thumb.jpg
圖3、惡意軟體搜尋帶有這些副檔名的檔案,並且用其帶入的svchost.exe加以加密(一個GnuPG可執行檔)
(點入以看大圖)
這個惡意軟體會避開下列資料夾以避免系統出問題:
- abbyy
- adobe
- amd64
- application
- autograph
- avatar
- avatars
- cache
- clipart
- com_ intel
- common
- csize
- framework64
- games
- guide
- internet
- library
- manual
- maps
- msoffice
- profiles
- program
- recycle
- resource
- resources
- roaming
- sample
- setupcache
- support
- template
- temporary
- texture
- themes
- thumbnails
- uploads
- windows
加密使用者檔案後,惡意軟體會再加上* .vault副檔名。
勒贖訊息
這惡意軟體使用下面腳本讓受影響系統在打開檔案時顯示勒贖訊息:
圖4:惡意軟體使用腳本顯示勒贖訊息
(點入以看大圖)
加密之後,惡意軟體會將所有帶有* .vault副檔名的檔案加上鎖頭圖示。每個「鎖住」的加密檔案在被打開時都會顯示勒贖訊息,如下圖所示。
圖5、打開任何BAT_CRYPVAULT.A加密的檔案會出現VaultCrypt勒贖訊息。使用者需要上傳惡意軟體產生在桌面的Vaule金鑰檔案以存取該網站。
該惡意軟體還會在受感染系統桌面產生一個.TXT檔案,用來顯示如何支付贖金以解密檔案。我們觀察到此一特定攻擊似乎針對俄語系國家的使用者,因為其附件檔名、勒贖訊息和勒索軟體支援網站都是用俄文。
圖6、產生的俄文檔案VAULT.txt出現在桌面資料夾。它提供了如何解密檔案的說明。
圖7、透過HTML可執行檔(.HTA檔案)的勒贖訊息在加密使用者檔案後會出現在受感染系統的桌面上
刪除備份、加密痕跡和惡意軟體組件
該惡意軟體會用sDelete來刪除金鑰檔案、secring.gpg、vaultkey.vlt和confclean.lst,這是一個微軟的Sysinternals工具。sDelete可以覆寫已刪除檔案的磁碟數據,讓被刪除檔案很難或幾乎不可能復原。
雖然這並非我們第一次看到加密勒索攻擊使用SDelete,但這是我們第一次看到惡意軟體使用16次覆寫,以確保回復工具想要復原被刪除檔案將會非常地困難。這個檔案會跟勒索軟體一起帶入受影響的系統。
圖8、刪除用在加密過程中的金鑰檔案
圖9、惡意軟體使用sDelete刪除金鑰檔案
該惡意軟體還會刪除shadow volume copy,如果它存在的話。
echo Set objShell = CreateObject^(“Shell.Application”^) > “%temp%\win.vbs”
echo Set objWshShell = WScript.CreateObject^(“WScript.Shell”^) >> “%temp%\win.vbs”
echo Set objWshProcessEnv = objWshShell.Environment^(“PROCESS”^) >> “%temp%\win.vbs”
echo objShell.ShellExecute “wmic.exe”, “shadowcopy delete /nointeractive”, “”, “runas”, 0 >> “%temp%\win.vbs”
https://blog.trendmicro.com/trendlabs-security-intelligence/files/2015/03/Crypvault_fig-10.jpg
圖10、惡意軟體會在結束動作前刪除其組件
下載資料竊取軟體
這個惡意軟體還會從C&C伺服器下載和執行一個叫做Browser Password Dump的駭客工具(來自SecurityXploded)。這個工具可以從以下瀏覽器讀取儲存的登錄密碼:
- Mozilla Firefox
- Internet Explorer
- Google Chrome
- CoolNovo
- Opera Browser
- Safari
- Flock
- SeaMonkey
- SRWare Iron
- Comodo Dragon
執行該工具後,惡意軟體會接著產生名為up.vbs的Visual Basic腳本,將取得的密碼上傳回C&C伺服器。
結論
我們也注意到,雖然這是一個新的加密勒索變種,但CRYPVAULT的功能似乎有限,因為它並非使用程式語言編寫;而是用批次處理腳本撰寫。它也沒有導入任何程式庫或建立函數,惡意軟體會帶入組件來進行大部分的惡意行為。這也說明了網路犯罪分子要製造新的加密勒索軟體變種有多麼容易。
勒索軟體正在成為下一個來自惡意份子的大事件。讓重要的使用者檔案無法使用以迫使更多人支付贖金。隨著越來越多勒索軟體的出現,建議要定期的備份檔案。
相關雜湊值:
勒索軟體下載程式
- 26f412edd315f4031f5d4e7fcf37f2bb82d6062c
BAT_CRYPVAULT.A
- 7c76361ae1402246a46fa12b5d7f0d58cff3f8c1
- 41703605ee631c7aa3a671293062c1d2b88d758b
- 279759d6037f201f2375e6d120a24c39c4ae96c3
- 8d1009dc2e89990a67402eb059eb58d83b01983b
- 0524275053a4be37df60aee6273664893c5b0f2d
- 0915b41b55a162ad0c376d5c24b9810fcdf30192
- 0abb675915b3c662f5913a410e70f47cda23c9bc
- c75ce003e2d994f65c863b3cd3539c178cd86e02
HKTL_BROWPASS
- 98718c8ff50450e14e16140517a3ae8bc8cabb46
@原文出處:CRYPVAULT: New Crypto-ransomware Encrypts and “Quarantines” Files作者:Michael Marcos(威脅回應工程師)