一,样品介绍 最近,令人信服的安全团队在国内分析了安全云脑网络威胁数据时发现了新的赎金家族KrakenCryptor,发现该版本是KrakenCryptor2.0.7。此版本是迄今为止发现的最新版本,自10月22日起,客户一直在通过安全的云脑测试样本。最新版本的勒索软件使用RSA + AES加密算法,加密后缀也是随机生成的。 二,详细分析 1.样本是用.net框架编写的,样本混淆如图所示: 图1 图2 示例代码混淆 2.为了混淆样本,开始研究它。与一般勒索软件类似,此版本还规定了为受害者支付赎金的时间限制,这将在一周以上后价格上涨。 如图所示,这是向受害者收费的时间,但它没有显示在图形界面上,本周的价格上涨计算为自然周,而不是基于加密受害者。 图3 支付(勒索)倒计时 3.该示例将首先解密一些有关加密的信息,例如系列,版本,技术支持邮箱等。 图4 系列版本号 图5 加密密钥长度信息 KrakenCryptor支持加密文件后缀,共422个。下图是部分文件后缀。 图6 支持加密文件后缀 4.样本将通过https://ipinfo.io网站确认受害者IP的位置。 图7 收集受害者IP的物理位置 5.收集受害者系统版本,mac地址,本地磁盘信息,并生成RSA和AES密钥。 图8 生成加密密钥 6.获取受害者的默认输入方法以免疫(不加密)特定的默认输入方法。 图9 获取默认输入法 图10 免疫输入法 获取系统语言并免疫特定语言。目前免疫的国家有:亚美尼亚(AM),阿塞拜疆(AZ),白俄罗斯(BY),爱沙尼亚(EE),格鲁吉亚(GE),伊朗(IR),吉尔吉斯斯坦(KG),立陶宛(LT),摩尔多瓦(MD)) ,俄罗斯(RU),塔吉克斯坦(TJ),乌克兰(UA),乌兹别克斯坦(UZ),土库曼斯坦(TM),叙利亚(SY),拉脱维亚(LV),哈萨克斯坦(KZ)。 图11 免疫国家 7.注册表项,添加WordLoad密钥,用作加密记录。如果Wordload的值为1,则退出。 图12 图13 8.如果它不在免疫国家列表中,则下一步是进入加密过程。该示例将自己的IP物理地址发送到URLhttps://2no.co/2SVJa5。由于此URL是短连接,因此在恢复为https://www.bleepingcomputer.com/之后,bleepingcomputer是一个提供安全技术和信息的网站。 图14 访问bleepingcomputer 9.生成256位AES密钥并使用CBC模式加密文件。 图15 10.加密文件将被原始文件覆盖,然后重命名。 图16 加密原始文件后覆盖写入 图17 重命名加密文件 11.加密完成后,样本也将被删除。 图18 12.最后更改桌面背景以提示受害者 图19 第三,解决方案 对于已经使用勒索软件的用户,建议尽快隔离受感染的主机,因为没有解密工具。 深信,提醒用户尽快做好病毒检测和防御措施,防止这种勒索软件攻击。 病毒防御 1.及时修补计算机以修复漏洞。 2.定期执行重要数据文件的非本地备份。 3.请勿单击来自未知来源的电子邮件附件,也不要从未知网站下载软件。 4.尝试关闭不必要的文件共享权限。