「用指尖改變世界」

來自卡巴斯基實驗室的Orkhan Mamedov和 Fedor Sinitsyn發文稱，在過去的幾天里，他們一直在檢測一種新的惡意軟體——KeyPass勒索軟體。安全社區的其他人也已經注意到，這種勒索軟體在8月份開始積極地傳播：

來自MalwareHunterTeam的預警

傳播模式

根據卡巴斯基實驗室所掌握的信息，該勒索軟體目前正通過偽裝成虛假的安裝應用程序進行傳播。

描述

由卡巴斯基實驗室所檢測的KeyPass勒索軟體樣本是採用C++編寫的，並在MS Visual Studio中編譯。它的開發基於MFC、Boost和Crypto ++庫，PE頭顯示了最近的編譯日期。

帶有編譯日期的PE頭

當在受害者的計算機上運行時，該勒索軟體會將可執行文件複製到%LocalAppData%中並執行，然後從原始位置刪除自身。

隨後，它會生成自身進程的多個副本，並將加密密鑰和受害者ID作為命令行參數傳遞。

命令行參數

KeyPass會枚舉出可以通過受感染計算機訪問的本地驅動器和網路共享，並搜索所有文件（無論其擴展名是什麼），但會跳過位於多個目錄中的文件。在卡巴斯基實驗室所檢測的樣本中，這些路徑被硬編碼在其中。

被排除文件的路徑列表

對於每一個被加密的文件而言，它們都會得到一個附加擴展名「.KEYPASS」。另外，一個名為「!!!KEYPASS_DECRYPTION_INFO!!!.txt」的贖金票據會被保存在每一個完成加密的文件夾中。

贖金票據

加密方案

KeyPass勒索軟體的開發者實施了一個非常簡單的加密方案。勒索軟體在密文反饋（CFB）模式下使用對稱演算法AES-256對所有目標文件進行加密，初始化向量（IV）值為0，密鑰為32位元組（對於所有目標文件而言，密鑰都相同）。另外，該勒索軟體最多只會加密每個文件開頭的0x500000位元組（大約5MB）的數據。

實施數據加密的部分過程

在運行之後不久，KeyPass就會連接到其命令和控制（C＆C）伺服器，並接收當前受害者的加密密鑰和感染ID。數據以JSON格式通過明文HTTP傳輸。

如果C＆C無法訪問（例如，受感染的計算機未連接到互聯網或伺服器宕機），KeyPass則會使用硬編碼的密鑰和ID。這意味著即使是在離線的情況下，加密或解密受害者的文件是完全沒有問題的。

圖形用戶界面（GUI）

卡巴斯基實驗室表示，KeyPass勒索軟體最有趣的特性是能夠「手動控制」。它包含了一個默認隱藏的表單，可以在按下鍵盤上的特定按鍵之後顯示出來。這個功能可能表明其背後的犯罪分子打算在手動攻擊中使用它。

KeyPass的GUI

這個表單允許攻擊者通過更改以下參數來自定義加密過程：

encryption key（加密密鑰）

name of ransom note（贖金票據的名稱）

text of ransom note（贖金票據的文本內容）

victim ID（受害者ID）

extension of the encrypted files（被加密文件的擴展名）

list of paths to be excluded from the encryption（排除在目標文件之外的路徑列表）

默認被排除文件的路徑列表

用於實現通過按鍵顯示GUI的代碼

受感染地理分布

IOC

901d893f665c6f9741aa940e5f275952 – Trojan-Ransom.Win32.Encoder.n

hxxp://cosonar.mcdir.ru/get.php

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！