近期國外發現一款名為AVCrypt的勒索軟件，該勒索軟件在執行文件加密操作前會嘗試卸載已安裝的反病毒軟件，並且嘗試移除大量與系統安全相關的服務，從而弱化系統的防禦力。

該勒索軟件利用了反病毒軟件會在Windows安全中心註冊的特性，從而使用WMI(Window Management Instrumentation)工具查詢並嘗試卸載防病毒軟件，之後通過洋蔥路由向暗網域名發送感染主機相關信息和加密密鑰，然後加密磁盤文件，而後修改桌面圖片引導用戶進行付費解密操作，最終實現勒索行為。江民安全實驗室通過分析發現，該勒索軟件還處於開發完善階段，因其內部的大量調試信息還未移除，且其部分功能還並沒有完善，故此次應該屬於小範圍病毒的分發測試。江民安全實驗室建議廣大用戶安裝殺毒軟件預防此類勒索軟件的攻擊，江民反病毒產品能有效實時檢測並抵抗此類病毒的行為，幫助用戶遠離此類威脅。

樣本詳細分析報告:

調整當前進程權限令牌至SeShutdownPrivilege權限等級，彈窗顯示“cont………”(猜測用於測試版本使用)，創建名“.$”的互斥體防止病毒程序重複啟動。

圖1 創建互斥體防止病毒重複啟動 

獲取當前系統版本，判斷當前系統是否是Vista之後的系統版本，如果是則直接執行下一步感染策略，如果是Vista版本以前的系統則嘗試獲取進程令牌信息，如能正確獲取到令牌信息則執行下一步感染否則便使用ShellExecuteExW函數以管理員權限重新啟動病毒文件。

 

圖2 獲取系統版本執行後續流程

使用IsDebuggerPresent函數做了一個簡單的反調試，如果有調試器對病毒程序進行調試則退出程序，不執行任何操作。嘗試打開註冊表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe，該註冊表作為第一階段感染成功標誌，打開失敗則開始第一階段感染部署，打開該註冊表成功則意味著感染部署過程已經執行過了，那麼病毒程序就在%temp%目錄下生成名為“++.bat”文件執行結束進程並進行自刪除操作。

 

圖3.1 判斷系統是否已被成功感染

 

圖3.2 生成++.bat文件實現自刪除

由於該勒索軟件目前還處於開發測試階段，內含大量調試信息未清除，因此可以十分清楚其感染部署過程，整個感染過程以如下流程進行。

 

 

圖4 病毒感染部署的主要流程

 

病毒首先使用WMI(Window Management Instrumentation)組件的接口獲取IWbemClassObject對象，然後利用該對象的ConnectServer方法連接組件內命名空間“Root\\SecurityCenter2”，嘗試調用該對象的DeleteInstance方法關閉Microsoft Security Essentials、Malwarebytes、MicrosoftSecurity Essentials、Windows Defender四個與反病毒相關的系統進程實例。

 

 

圖5.1 連接Windows安全中心

 

 

圖5.2 刪除Windows自帶的反病毒程序實例

 

在關閉Windows Defender等四個系統自帶的反病毒程序後，病毒在配置註冊表後啟動了Windows管理服務程序WinMgmt.exe用於支持後續惡意行為，之後再次連接Windows安全中心查找在系統註冊的反病毒軟件並試圖移出反病毒程序以便於執行後續的加密勒索操作，其中查找反病毒軟件的方法可以用CMD命令模擬，CMD命令如下：

圖6.1 通過CMD命令查詢反病毒程序

 

 

圖6.2 查詢已經安全的反病毒程序

 

 

圖6.3 嘗試卸載反病毒程序

 

設置註冊表項使病毒能夠開機自啟動，之後設置病毒文件為系統隱藏屬性，並更改註冊表項完全關閉系統顯示隱藏文件的功能，使得病毒文件在完成惡意操作時不容易被發現。

 

 

圖7.1 設置病毒啟動項 

圖7.2 設置病毒文件為系統隱藏屬性

 

完成勒索病毒的啟動項配置後便全面配置整個註冊表項，關閉系統與安全相關的大部分功能，弱化系統的防禦能力，其中修改的註冊表項如下。

 

 

圖8 修改的註冊表項

 

註冊表配置完成後便會修改系統啟動文件，刪除系統恢復選項防止用戶通過恢復系統來恢復文件，靜默刪除系統備份文件，刪除卷影副本，再使用SRRemoveRestorePoint函數刪除系統還原點，刪除數量為1005個還原點，使得用戶不可能通過系統還原來恢復文件，之後通過CMD命令形式刪除系統與安全相關的大部分服務。

 

圖9.1 刪除備份相關文件

 

 

圖9.2 將要移除的Win​​dows服務

 

 

圖9.3 移除Windows相關服務的命令

 

刪除相關服務後，開啟新的線程為自身創建窗口，根據接受到的窗口消息執行不同的行為，主要有顯示正在安裝窗口的行為，禁止用戶關機並發出惡作劇的聲音使用戶主機無法正常工作。

 

 

圖10 創建窗口接受相關消息

 

之後遍歷進程查找洋蔥路由進程Tor.exe，如果找到該進程便嘗試和指定暗網域名bxp44w3qwwrmuupc[.]onion進行通訊，嘗試發送感染主機所在地區的時區，系統版本以及使用的加密密鑰。

 

 

圖11.1 根據Tor.exe是否存在執行後續流程

 

 

圖11.2 連接指定暗網域名發送用戶信息

 

如果沒有找到洋蔥路由進程，則將從自身的資源節中釋放t.zip，其中包含了Tor.exe進程，解壓完成後便使用CreateProcess函數創建進程再調用之前連接暗網域名發送主機信息的函數。

 

 

圖12.1 釋放t.zip文件內含Tor.exe文件

 

 

圖12.2 創建Tor.exe進程

 

在完成密鑰傳輸之後便開始常規的加密文件的過程，加密文件過後勒索軟件會在被加密的文件前添加一個“+”號，以此標識該文件已被加密，加密完成後會在每一個目錄下生成一個+HOW_TO_UNLOCK.txt文件，現在該文件只有內容“lol n”，由於該病毒中存在大量調試信息因此可以猜測該病毒正處於開發階段，這也可以解釋為什麼+HOW_TO_UNLOCK.txt文件中沒有引導用戶進行付費解密的原因。

 

 

圖13 加密文件操作

 

加密文件系統完成後便會設置桌面圖標為勒索軟件在%temp%目錄下釋放的t.bmp文件，然後引導用於閱讀+HOW_TO_UNLOCK.txt內容，最終使用戶進行付費解密操作，完成勒索行為。

 

 

圖14 改變桌面引導用戶進行付費解密

 

之後便在註冊表添加感染完成標誌HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe\，然後釋放“+.bat”批處理文件執行最後的清理行為，將會結束自身進程，刪除病毒文件，刪除開機啟動項設置，刪除相關日誌事件，清理剪切板內容等操作，最後結束進程。

 

 

圖15 生成+.bat文件實現後續清理工作

 

小結

用戶在感染該勒索病毒後文件會被惡意加密，且其嘗試卸載反病毒軟件，使用多種方式弱化系統防禦，移除大量與安全相關的服務，使得系統感染該病毒後在網絡環境下安全性變得十分脆弱。江民安全實驗室建議用戶保持良好的上網習慣，安裝殺毒軟件（如江民殺毒軟件等）預防此類型病毒的感染。