158期报告汇总
安天发布《Scarab 勒索病毒新变种分析报告》
安天捕风团队近期发现了 Scarab 的最新 变种,其伪装成一个录屏软件,以此来绕过 安全软件的检测。Scarab(圣甲虫)勒索病 毒于 2017 年 6 月首次被发现,此后,有多个 版本的变种陆续产生并被发现,其一般利用 Necurs 僵尸网络进行传播,但通过跟踪发现, 近期的 Scarab 勒索病毒可以通过 RDP 爆破 + 人工、捆绑流氓软件的方式进行传播。
经分析发现,该变种从表面看是伪装成 一个录屏软件,有详细的签名信息,可以截 图快照,但是与多数病毒一样设置了自启动 以及自删除功能,该功能给安全软件增加查 杀难度,而且为保证数据不可恢复,该变种 还进行了删除卷影的操作。它的危害性很大, 一旦病毒感染某主机,便会杀掉多数的系统进程、应用进程,然后对文件夹进行遍历做 加密动作,加密成功后弹出勒索信息。
样本运行后,首先会获取操作系统版本 信息,启动子进程,进行持久化操作,复制 自 身 到‘C:\Users\dell\AppData\Roaming’ 目录下并命名为 sevnz.exe,然后执行 sevnz. exe 对内存中相应字符串进行解密,之后通过 执行 mshta.exe 来删除 sevnz.exe。然后主程序 通过调用 mshta.exe 将相应的系统备份删除、 磁盘卷影等操作命令行写入注册表项、遍历 进程,如果发现相关进程则将相关进程结束, 将内存解密出相应的加密字符串设置为注册 表项,并在内存中解密生成相应的勒索信息 和用户的加密 ID,然后遍历文件目录,加密 相应的文件,并随机生成文件名,将加密之后的文件名后缀改为 .hitler。随后在加密文 件的目录下会生成一个写有勒索信息的 txt 文 档‘HOW TO RECOVER ENCRYPTED FILES’,之后屏幕上会弹出相应的勒索信息, 包含用户 ID、联系邮箱以及货币购买地址。
勒索病毒给企业和个人的数据安全带来 了严重的威胁,一旦主机被入侵,主机中的 文件都有可能被锁,而且被锁文件将难以恢 复,因此防护显得极为重要。在此,安天提 醒广大互联网用户需安全、健康上网,安装 杀毒、防毒软件(如:安天智甲工具)并及 时升级系统和修补设备漏洞。
目前,安天追影产品已经实现了对该 类恶意代码的检出。