獨家技術分析 | 新型勒索病毒Mindlost
近日,安全研究組織MalwareHunter發現了Mindlost勒索軟體的第一批樣本。
阿里雲安全團隊第一時間對該勒索軟體進行了技術分析。通過此分析報告,希望給業界研究者提供參考依據,併為可能受到影響的企業與機構,提供安全建議。
一、 概述
阿里雲安全團隊分析後發現,該病毒執行後會”隱藏”自己,然後後臺加密採用隨機祕鑰的128位的aes演算法,加密樣本賬戶的電腦的Users目錄下的檔案,如果字尾為".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"的檔案就直接加密,且解密贖金達到200美元。其加密完成後顯示的提示圖片如下:
被加密的企業和個人,需要通過線上網站使用信用卡的方式支付贖金。
根據目前披露的資訊,該勒索軟體並未大量主動分發,嚴重性不及WannaCry 和 Petya。阿里雲安全團隊推測,這是一個正在開發中的勒索軟體。
但從樣本的變化看,後續可能會有新的版本和變種出現;我們會持續關注,針對勒索軟體的防護和處理建議。
二、技術分析
1. Mindlost勒索病毒的執行流程如下:
2. 技術實現細節:
該Mindlost勒索病毒的是一個由C#語言編寫的程式,且該病毒作者還採用AgileDotNetRT.dll反編譯外掛,將所有程式碼全部混淆,增加了反編譯難度。具體功能實現細節如下:
a.將自己寫入登錄檔,實現自啟動:
b.檢測虛擬機器:
c.檢測該樣本賬戶機器是否已經被加密過,如果該樣本賬戶的uuid已經在他的伺服器資料庫中,且沒有支付贖金,則不再加密該樣本賬戶
d.建立aes的隨機祕鑰的程式碼如下:
e.獲取樣本賬戶C:\\Users目錄下的所有檔案,如果檔案字尾為".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"則對該檔案進行加密,被加密檔案的字尾為.enc,如果檔案目錄是載"Windows","Program Files","Program Files (x86)"目錄下,則放棄對該目錄檔案的加密,最後如果C:\\Users目錄下沒加密的檔案則被刪除。
f. 加密完成後,會將加密的私鑰上傳到病毒作者的伺服器上,程式碼如下:
g.下載提示樣本賬戶付款的圖片,且將該圖片改成該樣本賬戶電腦的桌面背景,程式碼如下:
三、 C&C地址分析
在分析程式碼的過程中,我們發現了該病毒連線資料庫伺服器和樣本賬戶名和密碼:
Data Source = victimssqlserver.database.windows.net;
user id=daniel;
password=Lifsgledi979
交贖金網站:http://Mindlost.azurewebsites.net,目前已經失效
四、 補充資訊和防護建議
目前,阿里雲安全團隊總共獲取到Mindlost的6個樣本檔案,通過時間戳分析,最早編譯時間在2018.01.15, 此時的樣本並未做程式碼混淆。
在2018.01.25編譯的版本中,已經對程式碼做了混淆。但所有樣本都包含除錯資訊,其中較為敏感的是pdb檔案路徑”
/Users/danielohayon/Documents/Mindlost/Mindlost/Mindlost/Encryptor/obj/Debug/Encryptor.pdb”,Mindlost的名字也是來自於此,路徑中還包含了樣本賬戶名danielohayon,由此猜測該勒索病毒還在開發中,就被已各安全人員發現。
當然,也不排除作者故意留下關鍵路徑迷惑大家。
像這樣的勒索軟體樣本,阿里雲安全團隊每天都會處理很多,大多都能通過及時的預警,病毒庫與防禦規則更新,將其在雲上的影響降至最低。截至2月3日,阿里雲平臺客戶不受MindLost勒索軟體影響。
補充閱讀:
阿里雲安全團隊建議:http://click.aliyun.com/m/41777/
加密勒索病毒處理方案
http://click.aliyun.com/m/41778/
加密勒索事件防護方案
http://click.aliyun.com/m/41779/