“愛(ài)馬仕”勒索病毒分析

■楊浩

近期，360安全中心發(fā)現(xiàn)一款名為”愛(ài)馬仕”的勒索病毒開始在國(guó)內(nèi)傳播，該勒索病毒此次的主要攻擊目標(biāo)是Windows服務(wù)器。目前流行的服務(wù)器勒索病毒中，有超過(guò)九成是通過(guò)遠(yuǎn)程桌面進(jìn)行傳播的。該勒索病毒更讓人頭痛的一點(diǎn)是，它除了不加密exe、dll、ini、lnk幾種類型的文件外，其余的類型的文件它都會(huì)加密。這里提醒大家，開啟服務(wù)器遠(yuǎn)程桌面時(shí)需要謹(jǐn)慎處理，萬(wàn)不可在使用弱口令的機(jī)器上開啟，不要有僥幸心理。

病毒分析

首先，勒索病毒會(huì)檢測(cè)中招者磁盤的剩余量，如果獲取磁盤剩余量失敗或者是磁盤的容量不足4G，勒索病毒就會(huì)停止工作。

若磁盤空間充足，則會(huì)通過(guò)動(dòng)態(tài)獲取的方法加載后續(xù)操作所需要的函數(shù)，以此來(lái)躲避殺毒軟件的靜態(tài)查殺。

該勒索病毒同時(shí)還會(huì)對(duì)系統(tǒng)版本是XP、Server2000、Server2003和Server2003 R2的中招機(jī)器進(jìn)行額外的內(nèi)存處理。由于在以上這些系統(tǒng)中，生成的密鑰對(duì)和密鑰容器都會(huì)被存儲(chǔ)在內(nèi)存中。所以勒索病毒會(huì)額外清空一下內(nèi)存中的密鑰容器內(nèi)容和密鑰對(duì)，避免在內(nèi)存中找到密鑰從而恢復(fù)被加密的文件。

文件加密部分

該勒索病毒會(huì)在本地生成兩個(gè)文件：

1.PUBLIC：病毒在本地生成的RSA密鑰對(duì)中的公鑰部分

2.UNIQUE_ID_DO_NOT_REMOVE：包含兩部分。

（a）用病毒在本地生成的AES密鑰加密在本地生成的RSA密鑰對(duì)中的私鑰的密文；

（b）用在病毒中硬編碼的RSA公鑰加密本地生成的AES密鑰的密文；

病毒在本地進(jìn)行的RSA密鑰對(duì)生成動(dòng)作以及將密鑰對(duì)中的RSA公鑰寫入到PUBLIC文件中。

接下來(lái)是UNIQUE_ID_DO_NOT_REMOVE文件的生成。其第一部分是用256位的AES密鑰去加密2 048位的RSA的私鑰。而第二部分是用病毒中硬編碼的RSA的公鑰去加密AES密鑰。

完成后，病毒會(huì)將剛剛生成的PUBLIC文件中的RSA公鑰讀取出來(lái)，在稍后進(jìn)行的文件加密操作中，用于對(duì)加密密鑰的再加密工作。

病毒會(huì)創(chuàng)建一個(gè)批處理腳本（bat）來(lái)啟動(dòng)%TEMP%目錄下的勒索病毒主體。但是在后續(xù)操作中，并沒(méi)有將該病毒釋放到%TEMP%目錄里，并沒(méi)有發(fā)現(xiàn)該腳本的存在有任何意義，這令分析人員頗為不解。

勒索病毒讀取并解密自身資源，釋放勒索信息。從自身資源中獲取勒索郵箱地址。郵箱地址有兩個(gè)：一個(gè)是dechhelp#airmail.cc，另一個(gè)是dechsupp#cock.lio。其中后者為備用郵箱。

病毒遍歷文件的過(guò)程中，還會(huì)判斷當(dāng)前盤符掛載的是否是只讀光盤，若是，則不再對(duì)該磁盤進(jìn)行加密操作。

系統(tǒng)目錄不加密

在遍歷目錄的時(shí)候，如果遇到目錄包含Windows、Ahn-Lab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS 等字符串中的任意一個(gè)，病毒便會(huì)跳過(guò)對(duì)該目錄的加密。

接下來(lái)，病毒會(huì)先判斷正在掃描的目標(biāo)是文件還是目錄：若是一個(gè)目錄就生成敲詐信，并進(jìn)入該目錄繼續(xù)做遞歸掃描工作。若不是目錄，再判斷該文件是否是生成的敲詐信息或生成的唯一ID，均不是則繼續(xù)檢查文件的擴(kuò)展名，若不是dll、exe、ini、lnk、hrmlog 中的一個(gè)才會(huì)進(jìn)行加密工作。

不加密指定的文件后綴

開始加密，病毒會(huì)讀取該文件內(nèi)容到內(nèi)存中，再對(duì)內(nèi)容進(jìn)行檢測(cè)——看文件內(nèi)容中是否被寫入了HERMES標(biāo)記，該敲詐者的名字“愛(ài)馬仕”就是取之于該標(biāo)記。若找到標(biāo)記則不再加密文件，僅將擴(kuò)展名改為.HRM即可。

若未找到HERMES標(biāo)記，就開始加密文件。加密開始前，病毒會(huì)先生成一個(gè)256位的AES密鑰。AES密鑰生成成功，則開始加密文件，加密完成后，寫入文件標(biāo)識(shí)“HERMES”。最后，病毒將AES密鑰用PUBLIC中的RSA公鑰加密，再將加密后的AES密鑰寫入到文件尾部。

病毒對(duì)本地文件的加密工作全部完成后，還會(huì)嘗試枚舉網(wǎng)絡(luò)資源（如共享文件）去加密。全部完成后，還會(huì)再次清空內(nèi)存中的會(huì)話密鑰，確保不會(huì)出現(xiàn)因密鑰殘留于內(nèi)存中而被用于恢復(fù)文件的情況。

如果想要解密文件，就需要將UNIQUE_ID_DO_NOT_REMOVE交給作者，讓其用自己手里的RSA私鑰解密出AES-256-1密鑰。然后用AES-256-1去解密出RSA-2048私鑰。再用RSA-2048私鑰去解密出每個(gè)文件中的AES-256-2密鑰。最后，用AES-256-2密鑰解密文件內(nèi)容。

后續(xù)處理

所有加密工作完成后，病毒還會(huì)進(jìn)行一些其他的善后工作。首先是刪除卷影副卷，以及刪除后綴名為.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串類型的文件——因?yàn)檫@些文件都可能是備份文件。

之后，會(huì)再次檢測(cè)桌面目錄中是否有生成敲詐信息，如果沒(méi)有就生成一份敲詐信息。確認(rèn)敲詐信息存在后，病毒會(huì)將這份桌面上的DECRYPT_INFORMATION.html敲詐信息文件直接運(yùn)行起來(lái)。最后刪除病毒自己。

敲詐信息中向中招者索要0.8個(gè)比特幣，按寫稿時(shí)匯率換算，相當(dāng)于人民幣32 000元。這么貴的解密費(fèi)用，也配得上“敲詐界奢侈品”的稱號(hào)。

在線服務(wù)器一直以來(lái)都是各路黑客最常見(jiàn)的攻擊目標(biāo)，而勒索病毒為這類攻擊提供了一個(gè)新的變現(xiàn)渠道，一般而言服務(wù)器上的數(shù)據(jù)相較普通PC更具價(jià)值，被勒索后支付意愿更高，讓此類攻擊也更加泛濫。對(duì)于大量的中小型企業(yè)，服務(wù)器的防護(hù)往往是一個(gè)被疏忽的部分，這里必須要警惕這一點(diǎn)。尤其在開啟遠(yuǎn)程桌面服務(wù)時(shí)，要注意以下幾點(diǎn)：

1.盡可能避免使用默認(rèn)的用戶名，使用復(fù)雜口令（不要使用有規(guī)律可尋的口令）。

2.對(duì)多用戶賬戶的服務(wù)器，設(shè)置嚴(yán)格的管理策略，并強(qiáng)制登錄口令設(shè)置的復(fù)雜度。同時(shí)，管理員要嚴(yán)格控制每個(gè)賬戶的權(quán)限。

3.多臺(tái)計(jì)算機(jī)組成局域網(wǎng)時(shí)，不要使用相同的用戶名和口令。

4.口令需要做到定期更換。

5.安裝一款靠譜的安全軟件，可以幫助輕松解決絕大部分安全問(wèn)題，例如360安全衛(wèi)士推出的“遠(yuǎn)程登錄保護(hù)”功能，就能從陌生IP登錄和多次登錄口令錯(cuò)誤兩大方面，有效防御勒索病毒遠(yuǎn)程登錄控制服務(wù)器。