147期报告汇总
安天发布《“圣甲虫”勒索软件变种分析报告》
 
     近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时发现 Scarab“圣甲虫”勒索软件变种开始活跃, 其名为 Scarabey。其传播方式不同于其他 变种,载荷代码亦不相同。

     与大多数勒索软件一样,Scarabey 加 密系统上的文件后要求受害者支付比特 币。 然 而,Scarabey 并 不 像 原 始 的 Scarab 那样通过 Necurs malspam 进行传播,而是 针对俄罗斯用户并通过服务器和系统上的 RDP 功能或手动方式进行传播。另外, Scarabey 是由 Delphi 编写的,而 Scarab 使 用 C++,并且勒索信息和使用语言也与其 他样本不同。对受害者而言,Scarabey 与 其他 Scarab 勒索软件之间的主要区别在于勒索信息中使用的恐吓策略。在 Scarab 样 本中,勒索信息是英文内容,但看起来像 是将俄语逐字翻译成英文,而不知道正确 的英语语法。Scarabey 是用俄语写的,但 有趣的是,若将 Scarabey 的勒索信息使用 Google 翻译时,将出现与 Scarab 的勒索信 息相同的语法错误。

     从 整 体 代 码 来 看,Scarabey 和 Scarab 几乎是逐字节相同的,因此很可能是来自 同一作者。此外,其生成的子进程、删除 的文件、使用的加密方法以及使用的互斥 量也都是相同的,这也是 Scarabey 被认为 是 Scarab 变种的原因。Scarabey 使用的加 密算法是 AES256,其加密密钥会写在注 册表键值中。在磁盘加密完成后,它会遍历网络文件夹和磁盘并进行加密,最后弹 出勒索信息。

      安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。同时也要做好文件的备份,以防 止勒索软件加密重要文件后无法恢复。

      目前,安天追影产品已经实现了对该类 恶意代码的检出。