即使支付赎金也无法挽回损失.PDFVIP

2016 年7 月11 日，星期一 即使支付赎金也无法挽回损失 作者：Edmund Brumaghin 和 Warren Mercer 摘要 Talos 最近观察到一个以用户为目标的新勒索软件变体。此勒索软件给我们的启示是，受利 益驱使，新的威胁发起者正在继续快速进入勒索软件市场。因此，有更多独特的勒索软件系 列正在以更快的速度涌现。这些变体有些可能较为复杂，但也有些并不那么完善。我们这次 观察到的变体就很简单。在很多情况下，就感染系统和加密/删除文件的方式，或者试图胁迫 受害者满足其赎金要求的方法而言，这些新型勒索软件威胁与一些更加成熟的攻击活动几乎 没有相似点。 Ranscam 就是这些新型勒索软件的变体之一。它并不复杂，并且尝试使用各种恐吓手段促使 用户支付赎金，其中一种手段是告诉用户如果每次点击付款，但经过验证后无效，他们就会 删除用户的一个文件，但这已被证明是一个谎言。威胁发起者不再具备“盗亦有道”的观念。 Ranscam 与AnonPop 等威胁如出一辙，只会直接删除受害者的文件。这也再次说明了为什 么不能一味地相信威胁发起者总会恢复受害者的文件（即使受害者满足了勒索软件制作者的 要求）。有些组织在受到感染后可能会选择向勒索软件制作者支付赎金，但是Ranscam 却 给我们启示，组织必须制定合理的离线备份策略，而不是向勒索软件屈服。实施可靠的备份 策略不仅有助于确保系统得到恢复，还可以确保切断攻击者的收入源，防止他们利用这些收 入进一步发展他们的犯罪事业。 感染详情 勒索消息 受侵害的用户首先注意到的可能是恶意软件显示的勒索消息，该勒索消息有几个有趣的地方。 首先，它声称已将用户的文件移动到“加密的隐藏分区”，而不是简单地在文件的当前存储 位置加密文件。此外，在最初感染后，恶意软件会在每次重启后显示此消息。消息的内容包 括一个临时存储在用户桌面上的JPEG ，以及两个在每次显示勒索消息时使用Internet Explorer 远程获取的帧元素。 在消息的下部（使用通过 Internet Explorer 从各种Web 服务器收集的元素呈现的部分），它 并非直接将用户定向至外部位置来验证付款，而是提供了一个可点击的按钮。用户点击该按 钮后，勒索软件会声称它正在验证付款。然后，它会显示验证失败通知，并开始威胁如果用 户每次点击该按钮却不提交付款，便会删除一个文件。 但实际上，该恶意软件只是简单地发出两个HTTP GET 请求，以获取用于模拟验证过程的 PNG 图像。验证并没有真正发生。 遗憾的是，其实所有用户文件都已被勒索软件制作者删除，而且无法恢复，因为Ranscam 本身并不具备真正的恢复功能。制作者只是利用“烟幕弹”诱使受害者相信他们的文件可以 恢复，从而选择支付赎金。此恶意软件缺乏任何加密（和解密）功能，这意味着攻击者只是 在试图“快速敛财”，而此恶意软件本身并不复杂，并且缺少其他勒索软件（例如 Cryptowall）的相关功能。 勒索软件运行方式 此勒索软件被打包为.NET 可执行文件，使用reca[.]net 颁发的数字证书进签名。在已分析的 样本中，此数字证书似乎颁发于2016 年7 月6 日。 受害者执行此文件时，它会执行若干操作，以驻留在系统中。首先，它会将自身复制 到%APPDATA%\ ，并使用任务计划程序创建计划任务，并且将此任务配置为在每次启动系 统时执行。此外，它还会解压缩一个可执行文件并放到%TEMP%\ 下。 此计划任务调用的可执行文件使用Windows 命令处理程序来调用一个批处理文件。该文件负 责实施与此勒索软件相关的大部分破坏活动。 该批处理文件会遍历受害者文件系统中的几个文件夹，主要是用户配置文件的文件夹和几个 已定义的应用程序目录，不过它并非加密受害者的文件，而是会删除全部内容。 该脚本会还对受感染的系统执行其他几个破坏性操作，包括： • 删除负责系统恢复的核心Windows 可执行文件 • 删除卷影副本 • 删除与启动安全模式相关的几个注册表项 • 设置注册表项以禁用任务管理器 • 设置键盘扫描码映射 然后，该脚本会使用PowerShell 获取用于呈现勒索消息的JPEG 。 完成上述活动后，脚本会强制关闭系统。系统受到感染后，这些活动会在系统每次启动时重 复执行，计划任务会调用该恶意软件来检查各个目录中是否有新文件，如果有则将其删除， 然后显示勒索消息，最后强制关闭系统。 托管该勒索消息所用内容的Web 服务器上的一个公开文件列表如下所示。我们在威胁发起者 所使用的其中一个Web 服务器上发现了这个列表。该列表使用默认配置，攻击者并