KrakenCryptor2.0.7勒索變種來襲
前言
近日,深信服安全團隊在分析安全雲腦全網威脅資料時,發現了一個在國內出現的新勒索家族KrakenCryptor,發現版本為KrakenCryptor2.0.7。該版本為目前發現的最新版本,且從10月22號以來,陸陸續續有客戶通過安全雲腦對該樣本進行檢測。該勒索軟體最新版本使用RSA+AES加密演算法,加密字尾也隨機生成。
詳細分析
1、樣本是用.net框架編寫的,並且樣本經過混淆,如圖所示:
2、將樣本去混淆,便開始對它的研究。跟一般勒索軟體類似,該版本也會給受害者設定一個繳納贖金的時限,超過一個周以後就會漲價。
如圖所示,這是給受害者的收費計時,不過並未在圖形介面上展示,且這個一週漲價算的是自然周,而不是根據受害者被加密以後開始算。
繳費(勒索)倒計時
3、樣本會首先解密出一些關於加密的資訊,比如,家族、版本、技術支援郵箱等。
家族版本號
加密的金鑰長度資訊
KrakenCryptor支援加密的檔案字尾,一共有422種。下圖為部分檔案字尾。
支援加密的檔案字尾
4、樣本會通過 ofollow,noindex" target="_blank">https://ipinfo.io 網站來確認受害者IP的位置:
收集受害者IP的物理位置
5、收集受害者系統版本、mac地址、本地磁碟資訊,並生成RSA和AES金鑰:
生成加密金鑰
6、獲取受害者的預設輸入法,對特定預設輸入法進行免疫(不加密)。
獲取預設輸入法
免疫輸入法
獲取系統語言,對特定語言進行免疫。目前免疫的國家有:
亞美尼亞(AM),亞塞拜然(AZ),白俄羅斯(BY),愛沙尼亞(EE),喬治亞(GE),伊朗(IR),吉爾吉斯坦(KG),立陶宛( LT),摩爾多瓦(MD),俄羅斯(RU),塔吉克(TJ),烏克蘭(UA) , 烏茲別克(UZ) , 土庫曼(TM),敘利亞(SY),拉脫維亞(LV),哈薩克(KZ)。
免疫國家
7、登錄檔項,新增一個WordLoad的鍵,用來作為加密記錄。如果Wordload的值為1,就退出。
登錄檔項
8、如果不是在免疫國家列表當中,那麼接下來就要走入加密流程了。樣本會向 https://2no.co/2SVJa5 這個URL傳送自己的IP實體地址。由於這個URL是個短連線,還原以後是 pingcomputer.com/" rel="nofollow,noindex" target="_blank">https://www.bleepingcomputer.com/ ,bleepingcomputer是一個提供安全技術和資訊的網站。
9、生成256位AES金鑰,並使用CBC模式加密檔案。
10、加密後的檔案會直接將原檔案覆蓋,然後再重新命名。
加密原檔案後覆蓋寫入
重新命名加密後的檔案
11、加密完以後樣本還會自刪除:
12、最後更換桌面背景給受害者進行提示:
