一觉醒来，我陷入了被勒索的恐惧

前言

Windows激活工具一直以来都是攻击者传播木马病毒的热门载体，近日360互联网安全中心就发现了一款新型勒索病毒，通过伪装成Windows激活工具进行传播。分析中我们还发现，这个勒索病毒还带有隐藏的配置功能，可以查看和修改加密使用的密钥和提示信息，还可以通过这个界面获取密钥解密。

传播

图1.捆绑有勒索病毒的激活工具

木马通过捆绑在windows激活工具中，通过国外的一些网盘进行传播。该勒索病毒在8月7号首次出现，之后一直有传播，虽然病毒本身已经被安全软件拦截查杀，但仍然不断有用户在使用。

图2.传播情况

样本分析

我们选取了其中一个病毒样本进行分析

图3.样本图标

病毒启动之后，会带参数再次启动，分别实现不同功能，样本使用的启动参数如下：

表格1.勒索病毒参数

不同参数下实现不同功能：

图4.进程启动

隐藏的调试功能

分析过程中，我们发现该勒索病毒包含一个隐藏的窗体，在按下F8之后会显示这一窗体，通过这个配置页可以配置下列信息（显然这是病毒自带的一个调试功能）：

l 加密文件的Key

l 勒索信息提示文件名

l 勒索提示信息

l 用户个人id

l 添加的文件后缀

图5.设置窗体1

勒索病毒传播者还可以自己设置需要跳过的文件目录。下面对话框中内容为默认设置。

图6 设置窗体2

下面是文件被加密之前的情况：

图7.修改设置后被加密的文件

同时，如果在通过cosonar.mcdir.ru/get.php获取参数失败时，该勒索病毒会调用默认的加密密钥以及默认的用户id传递给进程以及设置窗体。

图8.获取key和id

图9.默认key和用户id

文件加密

病毒作者在制作勒索病毒时，通常习惯使用微软提供的Crypto加密库，实现加密功能。但该勒索病毒使用了CryptoPP的开源库。在文件加密上，病毒也只处理了文件的前0x500000个字节（约5M）。过大的文件不会再加密后面的部分，之后调用AES算法进行加密。这类加单粗暴的做法，给文件解密留下了机会。

图10.AES算法加密文件

防御：

通过伪装成正常软件进行传播，是病毒常用的一类传播手段，尤其是各类破解工具和外挂软件。遇到这类勒索病毒可以通过以下几个方式进行防御

l 从未知网站下载的文件，一定要在开启杀毒软件的情况下运行。

l 可以使用360文档卫士对重要文件进行保护

l 定期备份重要文件

热点排行

热点排行