28期报告汇总
安天发布《首例具有繁体中文提示的勒索软件LOCKY》
近日,安天CERT发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有繁体中文提示的勒索软件。
样本行为
1. 运行样本后,勒索软件文件会自复制为*\temp\svchost.exe,运行并创建进程。
2. 同时,其会删除自身样本文件。另外并注册*\temp\svchost.exe为系统启动项,但在其后完成所有行为后会删除该文件,同时注册表信息也被删除,即并未实现自启动的功能。
3. 勒索软件进程svchost.exe会遍历系统中的所有文档类型文件,并进行加密,根据勒索提示文件获悉其是通过RSA-2048 和AES-128暗碼進行了加密。并且在每个目录下面释放一个勒索提示文件_Locky_recover_instructions.txt,来说明如何支付和解密流程。其中每个受害者都有一个个人识别ID。
4. 完成加密操作后,勒索软件进程会删除自身进程以及相应的文件和注册表项。
5. 在对其网络通信行为进行分析过程中,会发现其会访问一个乌克兰IP地址,该网址目前无法打开。
总结
通过目前的分析来看,勒索软件“Locky”的功能与之前分析的勒索软件的功能基本一致。勒索软件能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪;一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。安天提示广大用户,即使支付赎金也不一定能保证可以完全恢复被加密的文件。防止数据被加密,更应该注意勒索软件的防御,养成良好的上网使用习惯,不要轻易执行来历不明的文件。
“Locky”和其他勒索软件的目的一致,都是加密用户数据并向用户勒索金钱。与其他勒索软件不同的是,它是首例具有繁体中文提示的勒索软件,这预示着勒索软件作者针对的目标范围逐渐扩大,勒索软件将发展出更多的本地化版本。
安天预测,今后中国将受到更多类似的勒索软件攻击。所以,如何防御勒索便成为保卫网络安全的重要任务之一。目前安天智甲已经实现对该勒索软件的检测。
(报告原文:http://www.antiy.com/response/locky/locky.html)