PyLocky勒索軟體分析

雖然勒索軟體在今天的威脅形勢中明顯受到限制，但它仍然是網路犯罪的主要內容。事實上，在2018年上半年，勒索活動略有增加，通過不斷變種來繞過安全解決方案，保持與時俱進，在這個案例中， PyLocky勒索軟體（由趨勢科技檢測為RANSOM_PYLOCKY.A）偽裝成已存在的勒索軟體，並且跟他們一樣聲名狼藉，甚至有過之而無不及。

在7月下旬和整個8月，我們觀察到大量垃圾郵件在傳播PyLocky勒索軟體。儘管它在勒索信中號稱是Locky，但PyLocky與Locky無關。 PyLocky是用Python編寫的， 並與PyInstaller一起打包，PyInstaller是一個用於將基於Python的程序打包為獨立可執行文件的工具。

用Python編寫的勒索軟體並不新鮮， 2016年的Crypy(RANSOM_CRYPY.A)，和2017年的Pyl33t（RANSOM_CRYPPYT.A）就是用Python寫的。 但PyLocky有反機器學習能力，這點使得它更加突出。通過結合使用Inno Setup Installer（一個基於開源腳本的安裝程序）和PyInstaller，它對靜態分析方法發起了挑戰，包括基於機器學習的解決方案 。

PyLocky的分布似乎也比較集中：我們看到了一些針對歐洲國家的垃圾郵件，特別是法國。雖然垃圾郵件剛開始傳播時範圍很小，但其數量和範圍最終都會不斷增加，下圖是8月2號和8月24號pylocky分布的對比圖：

Pylocky勒索信偽裝成Locky勒索軟體，如圖：

感染鏈

8月2日，我們檢測到垃圾郵件將PyLocky發送給法國企業，並通過社工主題來誘騙他們，比如與發票有關的主題。該電子郵件誘使用戶單擊鏈接，該鏈接將用戶重定向到包含PyLocky的惡意URL，如圖：

惡意URL是一個zip文件下載（Facture_23100.31.07.2018.zip），包含已簽名的可執行文件（Facture_23100.31.07.2018.exe）。一旦成功運行後，Facture_23100.31.07.2018.exe將刪除惡意軟體組件(幾個C ++和Python庫以及Python 2.7 Core DLL) 以及C:Users\AppDataLocalTempis- .tmp目錄中的主要勒索軟體可執行文件（通過PyInstaller生成的lockyfud.exe），如圖：

上圖是ZIP文件的數字簽名信息(digital signature information)。

下面這張圖是與PyLocky有關的惡意組件，如圖：

PyLocky會加密圖像，視頻，文檔，聲音，程序，遊戲，資料庫和存檔文件等。以下是PyLocky加密的文件類型列表：

這個代碼片段顯示了PyLocky查詢系統屬性並且配置為sleep一段時間來逃逸傳統sandbox解決方案。

加密程序

PyLocky配置為加密硬編碼的文件擴展名列表。PyLocky還濫用Windows Management Instrumentation（WMI）來檢查被感染系統的屬性。如果被感染系統的總可見內存大小小於4GB，那麼PyLocky的反沙箱功能將會休眠999,999秒—差不多11.5天。如果可見內存大小大於或等於4GB，則加密程序直接執行。

加密後，PyLocky將與其C&C伺服器建立通信。PyLocky使用PyCrypto庫實現其加密程序 -- 使用3DES（Triple DES）密碼。PyLocky會遍歷每個邏輯驅動器，在調用"efile"方法之前會先生成文件列表，該方法對每個文件進行加密，然後留下一封勒索信。

PyLocky的勒索信分為英語，法語，韓語和義大利語4個版本，這表明它也可能針對韓國和義大利用戶。它還通過POST方式將被感染系統的信息發送到C＆C伺服器，如圖：

上面那張圖是PyLocky與C&C伺服器通信的代碼片段，下面那張圖是加密程序代碼。

緩解措施和趨勢科技解決方案

PyLocky的逃逸技術和對管理員保留的合法工具的濫用進一步證明了深度防禦的重要性。例如，機器學習是檢測獨特惡意軟體非常不錯的網路安全手段，但它並不是靈丹妙藥，無法完全檢測到惡意軟體。在今天的威脅局勢下，攻擊者可以任意使用不同的攻擊向量，這使得多層次的安全方法變得尤為重要。最佳實踐的方法就是：定期備份文件，保持系統更新，確保系統組件的安全使用，並培養網路安全意識。

趨勢科技XGen security 為數據中心、雲環境、網路和終端提供了針對各種威脅的防禦技術。它的特長就是高度機器學習，可保護網關終端數據和應用程序，並保護物理，虛擬和雲工作負載。藉助Web / URL過濾，行為分析和自定義沙盒等功能，XGen可以防禦那些具有特定目的且能夠繞過傳統控制的威脅，這些威脅利用已知、未知或未公開的漏洞來竊取或加密個人身份識別數據。具備智能，優化和連接的XGen為趨勢科技的安全解決方案套件提供支持：混合雲安全，用戶保護和網路防禦。

入侵標誌

檢測到的哈希值為RANSOM_PYLOCKY.A（SHA-256）：

·c9c91b11059bd9ac3a0ad169deb513cef38b3d07213a5f916c3698bb4f407ffa

相關哈希值（SHA-256）：

·2a244721ff221172edb788715d11008f0ab50ad946592f355ba16ce97a23e055（Facture_23100.31.07.2018.exe）

惡意URLs：

·hxxps://centredentairenantes [.]fr（C＆Cserver）

·hxxps://panicpc[.]fr/client[.]php?fac=676171&u=0000EFC90103

·hxxps://savigneuxcom[.]securesitefr[.]com/client.php?fac=001838274191030

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！