157期报告汇总
安天发布《KeyPass 勒索软件分析报告》
近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时发现 一种名为 KeyPass 的勒索软件开始活跃。 KeyPass 勒索软件通过虚假的软件安装程序 进行传播,2018 年 8 月份在世界范围内大 量出现。
KeyPass 程 序 用 C++ 编 写, 并 在 MS Visual Studio 中编译,使用库 MFC、Boost 和 Crypto++ 进行开发。PE 报头包含的最 近的编译日期为 8 月 7 日。当恶意代码在 受害者的计算机上启动时,KeyPass 将自身 复制到 %AppData% 并执行,然后删除自身。 KeyPass 在加密时会将加密密钥和受害者 ID 作为命令行参数回传。KeyPass 从受感 染计算机可枚举访问本地驱动器和网络共享并遍历所有文件,它会跳过系统目录中 的文件维持系统正常运行,其路径被硬编 码到样本中。KeyPass 开发人员在 CFB 模 式下,使用带有 zero IV 和相同 32 字节密 钥的对称算法 AES-256 的简单方案对所有 文件进行加密,启动后,KeyPass 连接到 C & C 服务器,回传当前受害者的加密密 钥和感染 ID,数据以 JSON 的形式通过纯 HTTP 传输。如果 C & C 无法访问,则使 用硬编码密钥和 ID 进行离线加密。研究 人员称 KeyPass 木马包含一个默认隐藏的 表单,按下键盘后可以显示该表单,此功 能表明该木马可以采用手动控制。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
