首页 > 安全资讯 > 正文

不给钱就社死,勒索软件又有新套路

让人社死的WannaHammer

近日,360反病毒团队接到多起用户反馈,电脑文件被一款名叫WannaHammer 3.0的勒索软件攻击。经分析该样本在界面与交互上刻意模仿知名勒索软件风格,感染后对用户文件实施加密,并通过倒计时、勒索说明及循环播放的低俗音频,施加恐吓与羞辱制造紧张氛围,以“让你社死”的方式威胁受害者尽快联系攻击者QQ支付赎金换取“解锁密码”。

综合样本行为与已知情报,该家族传播途径可能与被盗聊天账号有关——攻击者利用被盗取的QQ等即时通信账号,向联系人投递恶意程序。以熟人关系降低防范心理,提高点击率与执行率。此类传播方式隐蔽性强、覆盖面广,且往往与账号弱口令、钓鱼链接或二次诈骗相伴发生。

技术分析表明,WannaHammer 3.0并未采用成熟的现代加密方案,其文件保护机制在算法选型、实现方式与密钥管理等方面存在明显缺陷,不具备对抗专业逆向与离线恢复的能力。基于上述缺陷,360反病毒团队完成了加密机制还原,并自主开发出解密工具,可在不依赖样本程序、无需向攻击者支付或输入界面密码的情况下,对受影响文件进行批量恢复。

 

1. WannaHammer 3.0攻击及解密示意图 

样本分析

受害者在感染WannaHammer 3.0勒索软件后,系统会弹出如下界面。

 

2. WannaHammer 3.0勒索界面 

失败的持久化

勒索软件在运行后,会首先将自身写入注册表启动项。但根据分析人员的实际测试发现,由于加密流程最终会将加密程序自身也进行加密,导致这个注册表中的自启动无法实质性生效——真可谓“狠起来连自己都不放过”。

 

3. 通过注册表添加自启动项 

文件遍历

进入核心的加密功能代码后,勒索软件会从各盘符根目录开始进行递归遍历操作,查找所有“*.*”文件,但会跳过已含 #WannaHammer# 的文件。随后,勒索软件会判断文件大小,当文件小于50MB(52428800Byte)时才会进行加密。

锁定了需要加密的文件后,勒索软件便会读入待加密的文件,在内存中加密数据,最终将加密后的数据重新写回到文件中。完成加密操作后,会向文件名后追加.#WannaHammer#”的扩展名。

 

加密文件

经分析,该勒索软件对文件的加密流程示意图如下。

 

4. 勒索软件加密流程示意图

勒索软件对设备中的文件采用DES-ECB加密算法。首先初始化一个全0的8字节缓冲区,再用密码逐字节进行亦或操作并循环写入密钥。

 

5. 初始化缓存并写入密钥

此后,勒索软件会截取8字节(对应64位二进制数据)中的56位进行使用。与DES官方固定的选位顺序表不同,该软件采用0-based选位逻辑,将选取的密钥进行了位移。此外,单字节内的二进制位读取操作也与官方的读取顺序完全相反,改为了由低位向高位的读取逻辑。

 

6. 自定义的DES-ECB算法逻辑

也正是基于以上改动,只要在解密时也对标准的DES解密算法进行相应改动,就可以对加密后的数据进行有效解密。

通过上述自定义的加密方式,勒索软件会记录4字节的原始数据长度值(小端模式),随后用0数据填充原始数据至8字节对齐。最后,将上述全部数据以8字节大小分块进行DES加密,得到最终的加密后数据,并写回到原文件对原始数据进行覆盖。

释放勒索信息

加密文件后会弹出如下的勒索信息窗口:

 

7. 勒索信息弹窗 

留在系统中的勒索信内容如下:

 

8. 勒索信内容

同时在如下目录创建倒计时的时、分、秒标记及勒索信文件:

 

9. 勒索记录数据及勒索信文件 

接着,勒索软件还会禁用系统的任务管理器。

 

10. 禁用任务管理器 

勒索软件还会修改桌面壁纸,提醒用户当前设备已经中招。

 

11. 修改壁纸勒索受害用户

最终,WannaHammer最“杀人诛心”的操作来了。其会播放一段1分钟左右且内容不堪入耳的“18禁”淫秽音频。并且该音频是勒索软件代码中的一个名为“waveOut”的线程在系统内存中直接播放,不会在受害设备中落地任何音频文件,导致用户根本找不到这个音频,更加无法进行停播或删除处理。

 

12. 勒索软件在内存中直接播放音频 

分析人员手动提取了这份音频数据,其相关信息如下:

 

13. 提取后的音频文件信息 

撕票!

这一点该勒索软件也算是“说到做到”了,一旦勒索弹窗界面中的倒计时结束,便会开始删除文件。此时,勒索软件会调用此前递归查找待加密文件的函数,再次遍历系统中的文件,并对所有被加密的文件进行删除。

 

14. 删除文件 

删除全部文件后勒索软件还会弹出提示窗,告知所有文件已删除。

 

15. 弹出删除文件提示窗 

解密文件助力数据恢复

针对其加密逻辑的缺陷,360反病毒团队编写了解密器,可成功解密被其加密的文件,已帮多个用户成功解密被其加密的文件。有解密需要的用户,可联系客服获取免费解密服务。

 

16. 360反病毒团队自主开发的解密工具 

安全建议

针对此类新型勒索软件,360反病毒团队给出如下安全建议:

一、警惕社交网络“熟人投递”与社工钓鱼

l  二次渠道核验
凡在QQ、微信、钉钉等即时通讯工具上,接收到好友发送的“照片压缩包”“刷赞工具”“游戏外挂”或“未知运行程序”,务必通过电话或其他渠道向本人核实,切勿盲目解压运行。

l  显示已知文件扩展名
防范攻击者利用 .exe 伪装成 .jpg 或 .mp4 的双后缀欺骗手段。

l 增强安全意识
若账号出现异常登录、异地上线或向好友批量发文件等问题,应立即修改密码、开启二次验证、下线可疑会话,并通知联系人勿打开近期收到的文件。

二、寻求专业恢复

勿轻易支付赎金,这通常会助长攻击者气焰且无法保证100%恢复。可尝试使用像360反病毒团队这样的权威安全机构发布的专用解密工具进行安全、无损的批量恢复。

IOCs

SHA256

7860030d7cfe9d339fe1ea1426e53ccb57db42acc3cef1c4a6149f5e0856317e

QQ

3596805471

3344646233

368636048

360安全卫士

热点排行

用户
反馈
返回
顶部