近期發現了一款名為MindLost的新型勒索軟件,和以往的勒索病毒最大不同在於,MindLost不再勒索特幣等數字貨幣贖金,而是要求受害者使用信用卡或借記卡支付贖金,以此來套取銀行卡信息,進而將此信息出售給不法分子牟取更大利益。
近期發現了一款新型的勒索軟件,該勒索軟件採用C#語言開發,其主要功能是採用AES加密方式加密本地文件,之後引導受害者至指定的網頁要求付費解密文件,與以往勒索軟件不同的是,此次勒索軟件並沒有要求受害者支付比特幣等數字貨幣進行付費解密操作,而是直接要求用戶使用信用卡或借記卡支付贖金,以此來套取銀行卡信息,進而將此信息出售給不法分子從而牟取更大利益。由於該病毒目前對自身有所限制,只會對C:\\User目錄下的指定類型文件進行加密,因此其破壞性還並不是很大,且其代碼中還存在大量錯誤未修改,猜測該勒索軟件可能還處於開發測試階段,還並沒有進入主動傳播狀態,因此建議廣大用戶及時安裝殺毒軟件防止此類勒索軟件的攻擊。
感染該勒索軟件後會導致本地重要文件被攻擊者採用AES算法加密,加密文件會被添加一個名為.enc的新的後綴,之後桌面圖標會被篡改並被要求支付贖金才能解密文件,若用戶在攻擊者的網站支付贖金進行解密操作則會洩露自身信用卡和借記卡信息,從而導致銀行卡被盜刷等更加嚴重的問題。
文件系統變化:
使用AES算法加密C:\\User目錄下的文件,並添加後綴名.enc。
系統註冊表變化:
將勒索軟件路徑寫入註冊表開機啟動項,子健名稱為WinEnc。
網絡症狀:
到指定域名下載png圖片替換桌面圖案。
1. 該勒索軟件使用.NETFramework 4.7開發環境開發,開發時間為2018年,且此樣本屬於開發版本1.0.0.0版本,該勒索軟件生成名稱為Encryptor,因此猜測此病毒僅僅具備用於加密文件勒索用戶的功能。
2. 根據反編譯的結果可以清晰的看到程序的流程,繪製程序流程圖如下:
3. 反彙編的Main函數依照上述的程序流程順序執行,可以看出該勒索軟件應該還處於初步開發階段,並沒有實現其他很複雜的功能。
4. 依照程序流程,勒索軟件首先隱藏自身窗口,然後將自身程序的路徑寫入註冊表開機啟動項,以實現勒索軟件的開機啟動。
5. 之後便使用Sleep函數等待3分鐘。
6. 使用“cmd /c SYSTEMINFO”命令查詢當前主機詳細信息,並以該信息包含“VMware”字符串作為虛擬機檢測的手法,若檢查為虛擬機則退出程序,實現動態反調試策略。
7. 檢查當前主機是否成功被勒索過,若已經付費解密過文件則不再進行感染,否則將進行加密文件的勒索操作。
8. 生成AES加密密鑰,填寫加密過程使用的自定義的初始向量IV。
9. 調用勒索軟件實現的encryptAllFiles()函數實現對感染主機的文件加密操作。在該函數中又調用encryptToEncryptList()函數,最終調用encryptFile()實現對感染主機文件的AES加密操作。
10.加密過程為:先在將要加密的同目錄下創建新的文件,該文件名稱為之前文件名稱在後面添加.enc後綴,之後便設置該加密文件為隱藏屬性,然後將加密的字節流寫入到隱藏的加密文件中,加密單個文件後,將該文件連同其路徑記錄到toDelete鍊錶中,等到所有加密操作完成後再刪除鍊錶中指向的正常文件,最後再統一設置加密文件(*. enc)為可見狀態。
11.在此勒索軟件1.0.0.0版本中,加密過程僅針對後綴名為.txt|.jpg|.png|.pdf|.mp4|.mp3|.c|.py文件進行加密操作,且設置了禁止加密的文件目錄Windows,Program Files和Program Files(x86)。其中目錄設置中還包含錯誤的文件目錄.pdf|.mp4,且其加密目錄範圍被限制在C:\\Users文件夾下,且加密過程完成後還伴隨有打印消耗時間的操作,進一步可以看出此勒索軟件還處於開發測試階段。
12.在執行完加密操作後便將AES密鑰信息通過SQL命令保存在數據庫中。
13.最後到指定站點下載勒索標誌圖片,並將其設置為桌面提示用戶付費解密操作,並且將本機UID信息寫入桌面新生成的文件ID.txt,使用此信息進行付費解密操作。
14.提示用戶進行付費解密操作,引導用戶到 http://mindlost.azurewebsites.net 網址進行付費解密文件的操作。
江民安全專家建議廣大用戶及時安裝殺毒軟件防止此類勒索軟件的攻擊,並從以下幾個方面做好防範措施:
1. 建立良好的安全習慣,不打開可疑郵件和可疑網站。
2. 備份好電腦的重要資料和文檔,定期檢查內部的備份機制是否正常運行。
3. 不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。
4. 使用移動介質時最好使用鼠標右鍵打開使用,必要時先要進行掃描。
5. 有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
6. 安裝專業的防毒軟件升級到最新版本,並開啟實時監控功能。
7. 為本機管理員賬號設置較為複雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
8. 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。