Try2Cry 勒索软件通过 LNK 文件使用 USB 驱动器传播,上一个使用该方式传播的勒索软件是 Spora。 我们的 USB 蠕虫检测规则日常会命中很多样本,如基于 .NET 的 RAT 变种(njRAT 和 BlackNet RAT)。近日我们发现了一个未知的样本命中了该规则,似乎是一个 .NET 的勒索软件,对此展开了分析。
初始静态分析
勒索软件在资源中包含以下图像:
在字符串列表中包含勒索信息注释:
从字符串中可以发现:
- 样本使用 DNGuard 进行保护
- 加密文件扩展名为 .Try2Cry
- 联系人邮件地址为 Try2Cry@Indea.info
识别家族
Michael Gillespie 认为该样本是 `Stupid` 勒索软件的变种。Stupid 勒索软件的代码在 GitHub 上开源了,后续演变出多种变种。 后续分析了两个典型样本,一个有轻度混淆,另一个没有混淆也没有提供蠕虫传播功能。后者使用阿拉 伯语提供的勒索信息,并且邮箱地址为 `info@russianvip.io`。加密
Try2Cry 的目标文件如下所示: ```*.doc,*.ppt,*.jpg,*.xls,*.pdf,*.docx,*.pptx,*.xls,*xlsx
``` 加密算法使用的是 AES 的前身 Rijndael,加密密码硬编码在样本中。通过计算密码的 SHA512 哈希值,使用哈希的前 32 位创建加密密钥。
算法中 IV 的构建方法几乎与密钥相同,区别在于使用了 SHA512 哈希值的后 16 位。
加密时,设备名称为 `DESKTOP-PQ6NSM4` 与 `IK-PC2` 的机器可以免于加密。这可能是恶意软件开发者的计算机名称,便于在测试时提供保护。
蠕虫功能
蠕虫功能部分使用与 Spora、Dinihou 和 Gamarue 类似的技术。 样本搜索可移动设备,将自身的副本 Update.exe 放置在设备的根目录下。设备中的文件都会被隐藏,然后使用相同的图标替换为非隐藏的 Windows 快捷方式。这些快捷方式将会运行隐藏文件 Update.exe 以及原始文件。
样本还释放了文件夹图标和阿拉 伯名称的可见副本。Google 对这些阿拉 伯文的翻译是:
- 非常特别
- 重要
- 密码
- 一个陌生人
- 五个起源
Try2Cry 尝试
与 Spora 不同的是,它 USB 驱动器的感染迹象十分明显,快捷方式和阿拉 伯语等可执行文件。 与 Stupid 勒索软件的其他变种一样,该勒索软是可以解密的。该开发者几乎没有很多额外的功能添加,如果 GitHub 能够对开源恶意软件的删除更为积极,会对这类问题起到更好的效果。Hash
f6521e298c849c14cd0a4d0e8947fa2d990e06d978e89a262e62c968cefd9b8f 3786ad08d8dacfa84a0c57b48dfa8921435f5579235d17edc00160e7a86ae1c5 590885b5afc3aa1d34720bb758fb2868bb0870557db2110e61397a5364c7f8b3 2c5f392767feced770b37fce6b66c1863daab36a716b07f25c5bef0eeafc0b26 3b65dbd9b05019aae658c21f7fcb18dd29eea1555cc26c3fa12b9aa74ea55b88 8594533a7544fa477e5711d237ccac7f4a62c2c847465ccea3cfdb414a00a397 cefb7262229b0053daf3208f7adc7d4fb4edaf08944a9b65d7eb1efaa3128296 dd036085f8220d13c60f879ff48ccf6c7d60893217fc988ae64d2ee6a4eb3241 fb621d2c94b980d87a8aa3239ebeda857a2fcb29f5aac08facacdc879f9ce784 fd24367e7a71bce4435fb808f483e0466df60e851fd05eed9c2fd838404e7a9d参考链接
Gdata版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~