来自卡巴斯基实验室的Orkhan Mamedov和 Fedor Sinitsyn发文称,在过去的几天里,他们一直在检测一种新的恶意软件——KeyPass勒索软件。安全社区的其他人也已经注意到,这种勒索软件在8月份开始积极地传播:

来自MalwareHunterTeam的预警

传播模式

根据卡巴斯基实验室所掌握的信息,该勒索软件目前正通过伪装成虚假的安装应用程序进行传播。

描述

由卡巴斯基实验室所检测的KeyPass勒索软件样本是采用C++编写的,并在MS Visual Studio中编译。它的开发基于MFC、Boost和Crypto ++库,PE头显示了最近的编译日期。

带有编译日期的PE头

当在受害者的计算机上运行时,该勒索软件会将可执行文件复制到%LocalAppData%中并执行,然后从原始位置删除自身。

随后,它会生成自身进程的多个副本,并将加密密钥和受害者ID作为命令行参数传递。

命令行参数

KeyPass会枚举出可以通过受感染计算机访问的本地驱动器和网络共享,并搜索所有文件(无论其扩展名是什么),但会跳过位于多个目录中的文件。在卡巴斯基实验室所检测的样本中,这些路径被硬编码在其中。

被排除文件的路径列表

对于每一个被加密的文件而言,它们都会得到一个附加扩展名“.KEYPASS”。另外,一个名为“!!!KEYPASS_DECRYPTION_INFO!!!.txt”的赎金票据会被保存在每一个完成加密的文件夹中。

赎金票据

加密方案

KeyPass勒索软件的开发者实施了一个非常简单的加密方案。勒索软件在密文反馈(CFB)模式下使用对称算法AES-256对所有目标文件进行加密,初始化向量(IV)值为0,密钥为32字节(对于所有目标文件而言,密钥都相同)。另外,该勒索软件最多只会加密每个文件开头的0x500000字节(大约5MB)的数据。

实施数据加密的部分过程

在运行之后不久,KeyPass就会连接到其命令和控制(C&C)服务器,并接收当前受害者的加密密钥和感染ID。数据以JSON格式通过明文HTTP传输。

如果C&C无法访问(例如,受感染的计算机未连接到互联网或服务器宕机),KeyPass则会使用硬编码的密钥和ID。这意味着即使是在离线的情况下,加密或解密受害者的文件是完全没有问题的。

图形用户界面(GUI)

卡巴斯基实验室表示,KeyPass勒索软件最有趣的特性是能够“手动控制”。它包含了一个默认隐藏的表单,可以在按下键盘上的特定按键之后显示出来。这个功能可能表明其背后的犯罪分子打算在手动攻击中使用它。

KeyPass的GUI

这个表单允许攻击者通过更改以下参数来自定义加密过程:

  • encryption key(加密密钥)
  • name of ransom note(赎金票据的名称)
  • text of ransom note(赎金票据的文本内容)
  • victim ID(受害者ID)
  • extension of the encrypted files(被加密文件的扩展名)
  • list of paths to be excluded from the encryption(排除在目标文件之外的路径列表)

默认被排除文件的路径列表

用于实现通过按键显示GUI的代码

受感染地理分布

IOC

901d893f665c6f9741aa940e5f275952 – Trojan-Ransom.Win32.Encoder.n

hxxp://cosonar.mcdir.ru/get.php

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。