近幾年來,勒索病毒蔓延態勢日益嚴峻,全球成千上萬的伺服器、資料庫遭受入侵破壞。其中,Phobos勒索病毒家族以常年作惡多端而臭名昭著。
360安全大腦發布的《2020年6月勒索病毒疫情分析》顯示,就在剛剛過去的六月中,Phobos勒索病毒家族以21.79%的占比,再度斬獲6月勒索病毒占比榜單亞軍,其驚人破壞力可見一斑。
作為勒索「悍匪」中的老牌勁旅,Phobos勒索病毒首次出現於 2018 年 12 月,因當時會在加密文件後添加後綴名Phobos而得名。
和大多勒索病毒相同,之前國內的Phobos勒索病毒主要通過利用開放或不安全的遠程桌面協議RDP,來進行傳播感染。
而在近日,360安全大腦監測到Phobos勒索病毒新變種現身網絡,該病毒以系統激活工具等軟體作為載體,誘導用戶下載安裝後入侵受害者電腦,竊取用戶機器信息,並進一步通過木馬C&C伺服器下載加密勒索相關程序,實施比特幣勒索。在短短一周多的時間裡,該變種就已傳播感染十餘個國家。
目前,在360安全大腦的極智賦能下,360安全衛士可有效攔截查殺該勒索病毒變種,建議廣大用戶儘快下載安裝最新版360安全衛士,全面保障個人隱私及財產安全。
藏身系統激活工具誘導下載
一周內全球多國不幸中招
據360安全大腦監測顯示,該勒索病毒變種以系統激活工具等軟體作為突破口。
一旦用戶受到誘導下載運行,偽裝成第一層「羊皮」的powershell腳本,就會下載執行pps.ps1的另一個powershell腳本,pps.ps1則解密釋放出以base64加密的exe文件數據到%userprofile%目錄下並加載,該exe則實施受害者電腦信息的竊取,並進一步通過木馬C&C伺服器下載加密勒索相關文件。
Phobos病毒變種入侵流程
pps.ps1解密exe文件數據並執行
在完成文件加密後,Phobos勒索病毒變種會添加特定後綴名為id[XXXXXXXX-2275].[[email protected]].help,其中「XXXXXXXX」為磁碟序列號。
同時,其還會在受害者電腦的桌面目錄和磁碟根目錄,釋放名為info.hta和info.txt文件作為勒索信。通過調用起與info.txt相同文本內容的info.hta程序,標題名為「All your files have been encrypted」的彈框,會告知受害者病毒作者聯繫方式,及比特幣贖金支付方式等信息。
Phobos病毒變種彈框勒索比特幣
顯示勒索信息的info.hta和info.txt文件以及加密文件後綴名
根據pps.ps1腳本解密釋放病毒exe程序的時間戳為2020/7/12可知,在從該時間戳至今的短短一周多的時間裡,該勒索病毒變種已傳播感染十餘個國家。
Phobos勒索病毒新變種感染分布圖
多樣加密功能全面升級
細數猖獗作惡「五宗罪」
與之前版本相比,Phobos勒索病毒變種在對加密勒索功能模塊偽裝、安全防護機制繞過及本地持久化等多方面都實現了升級。經深度分析後,360安全大腦重現了該勒索病毒變種猖獗作惡的「五宗罪」。
1.「層層羊皮」包裹偽裝,加密勒索功能模塊行跡隱秘
當用戶下載執行在%userprofile%目錄下的exe文件,由powershell解密釋放落地後,會進一步從木馬伺服器,下載用於文件加密的可執行程序zeVrk.exe等文件完成加密勒索行為。
pps.ps1解密exe文件數據並執行
該病毒首先利用計劃任務中的SilentCleanup繞過UAC,然後從木馬伺服器獲取原始文件名為zeVrk.exe的木馬程序。
該木馬程序會從資源段中提取並解密經過base64加密的名為「AndroidStudio.dll 」的dll數據,調用其導出函數StartGame,進而繼續從dll的資源段提取加密的文件數據,然後將其解壓縮並異或解密,還原為負責加密勒索功能的exe文件數據,隨後加載該exe。「脫下」兩層資源段解密並加載的「羊皮」偽裝後,該exe將完成實質上的文件加密操作。
zeVrk.exe解密資源段的AndroidStudio.dll文件數據,調用其導出函數StartGame
AndroidStudio.dll!StartGame解壓縮解密並加載負責文件加密exe
2.「入室」竊取隱私數據,為潛在攻擊打下頭陣
一旦病毒變種入侵成功,其首先會在竊取目標電腦上CPU型號、音效卡顯卡等硬體信息,以及所屬國家、IP位址、安裝軟體等用戶信息後,將這些信息寫入「system.txt」文件;同時還會嘗試獲取本機帳戶密碼信息,並寫入「password.txt」文件;也同樣會將獲取到的當前螢幕截圖命名為「screenshot.jpg」。
而後,其會將這三個文件打包為壓縮文件回傳木馬伺服器並刪除本地的壓縮包文件,而這些被竊取的用戶信息很有可能為Phobos家族未來進一步的潛在攻擊打下頭陣。
system.txt中記錄的受害者電腦信息
壓縮包記錄受害者信息的各文件
3.花式繞過Windows Defender,無視安全防護機制壁壘
該病毒變種還會通過木馬伺服器下載原始文件名為「Disable-Windows-Defender.exe」的程序來禁用Windows Defender的各功能。
其方式包括:修改註冊表關閉Windows Defender實時保護等功能,調用powershell執行「 Get-MpPreference -verbose」命令檢查當前的Windows Defender設置,並嘗試關閉指定的Windows Defender功能。
修改註冊表關閉Windows Defender功能
調用powershell關閉Windows Defender功能
4.「投機取巧」繞過UAC,大肆執行惡意行為
計劃任務中的SilentCleanup以普通用戶權限即可啟動,並且啟動後自動提升為高權限。該病毒變種根據這一特點,利用計劃任務中權限控制不嚴格的SilentCleanup來繞過用戶帳戶控制UAC。
病毒變種利用SilentCleanup繞過UAC
5. 多重備份保證本地持久化,三大策略防止文件被恢復
病毒會將負責文件加密任務的zeVrk.exe文件拷貝到%LocalAppData%、%temp%以及開機啟動Startup目錄中,並添加zeVrk.exe文件路逕到註冊表啟動項中,從而實現加密勒索的本地持久化,達到當用戶重啟計算機時再次掃描磁碟加密新文件的目的。
zeVrk.exe(原始文件名)所在目錄
病毒變種添加的註冊表啟動項
同時,為了防止加密文件的恢復,該病毒變種會通過以下命令來刪除磁碟卷影備份, 修改啟動策略以禁用 Windows啟動修復, 以及刪除windows server backup備份:
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
文件加密行為「面面俱到」
360安全大腦多維抵禦安全風險
在加密文件的過程中,從AndroidStudio.dll資源段解密並加載的exe程序,會負責實質上的加密任務,其包含的功能有:文件占用解除,「RSA+AES」算法加密等。
勒索病毒變種首先通過進程快照枚舉當前進程,並通過進程名匹配,結束掉可能造成文件占用從而影響加密的40餘個進程。
病毒變種結束指定進程解除文件占用
隨後木馬會掃描當前機器的網絡共享磁碟和本地磁碟,準備進行文件加密。
掃描當前機器的UNC網絡共享磁碟和本地磁碟
病毒會通過AES256算法為網絡共享磁碟和本地磁碟生成32位元組的AES密鑰。然而實際上該密鑰只有前16位元組是以時間為因子和SHA256摘要算法獲取的隨機值,而後16位元組取自病毒內置的攻擊者RSA公鑰的第17-32位元組。
病毒變種生成的AES密鑰
對於生成的32位元組AES密鑰,病毒使用RSA算法對其進行加密,被加密內容包含AES密鑰,磁碟序列號,偽隨機數等在內共128位元組。
RSA加密 AES密鑰
判斷文件大小區別加密方式
對於全加密文件,該病毒變種首先創建一個新文件,並為原始文件名拼接上加密文件特定後綴名。然後依次讀取待加密文件數據到內存,使用AES隨機密鑰和16位元組的隨機初始變量進行CBC模式加密,並將加密內容依次寫入新創建文件。
文件數據加密完成後,其會在新文件尾部追加密鑰、原文件等相關數據共0xF0個位元組,該文件尾主要包含以下內容:已加密原文件名在內的64位元組, AES加密初始向量IV,已經RSA加密的AES加密密鑰和系統磁碟序列號,占用4位元組的尾部空間大小標記(0xF0),以及疑似標誌Phobos病毒版本號的6位元組常量值。
文件全加密
全加密文件的文件尾數據
對於部分加密文件,病毒從待加密文件中讀取3次0x40000位元組大小的數據片段,再加之常量和校驗值,採用與全加密相同的加密算法進行數據加密,然後寫入加密後數據到文件尾部,並清空被加密的原始數據片段。
文件部分加密
值得一提的是,近半年來,勒索病毒的蔓延勢頭愈加強勁,諸如Phobos勒索病毒變種的新型勒索病毒相繼湧現,不僅入侵方式更隱蔽,傳播速度更迅速,同時破壞效果也更加令人震驚。因此,廣大用戶需時刻提高防護意識,做好安全防禦措施。
不過廣大用戶無需過分擔心,在360安全大腦的極智賦能下,360安全衛士目前已可有效攔截查殺該勒索病毒變種。為全面保障廣大用戶的個人隱私及財產安全,凈化網絡環境,360安全大腦給出以下幾點安全建議:
1、前往weishi.360.cn下載安裝360安全衛士,並保持360安全衛士進程的常駐,可有效防護各類勒索病毒威脅;
2、提高個人網絡安全意識,不輕易從各下載站下載所謂的「免費」激活工具等軟體。建議從軟體官網,360軟體管家等正規渠道下載安裝軟體,對於被360安全衛士攔截的不熟悉的軟體,不要繼續運行和添加信任。
Md5:
01f6d86a3e0050cb116ad4f16f12a420
1c4e0d89e074f8fd8190a3887c378ed9
ac5f2c74c8c86f4c6914e646cf7ae975
89cae80db18a87076fb59c2deff65b66
URLs:
hxxp://boundertime.ru/pps.ps1
hxxp://marcakass.ug/ac.exe
hxxp://marcakass.ug/rc.exe
hxxp://marcakass.ug/ds1.exe
hxxp://marcakass.ug/ds2.exe
hxxp://evanhopping.com/Zbixrpx.exe