勒索木马Shade新变种分析报告

近期,安天追影小组在梳理网络安全事件时,注意到一款勒索软件,经分析,是勒索木马Shade的家族新变种。Shade于2015年初被发现,利用恶意垃圾邮件或漏洞作为其主要感染媒介。该勒索软件能够加密超过150种格式的文件,文件内容和文件名均会被加密,并被修改扩展名。加密结束后,被感染主机的背景桌面会显示一封勒索信,即使受害者支付了赎金,Shade家族的样本依旧不会停止其恶意行为,样本会在受害者电脑上下载其他恶意软件,持续感染受害者主机。

分析介绍:

该勒索软件首先在普通商务邮件的附件中存放一个经过压缩的脚本,通过具有欺骗性的邮件内容诱导接收者打开压缩包并运行该脚本。脚本运行后,自动调用Powershell执行下载功能,下载指定URL资源,脚本下载的木马程序会将自身的图标修改为PDF图标,以欺骗受害者主动运行该样本。

追影小组针对脚本下载的程序herty.exe(Md5:A6CD22776298A7B3E669FF2D879B10A5)进行分析,发现该程序会遍历进程,查找进程中是否存在“VboxService.exe”、“vmtoolsd.exe”,以检测是否是在虚拟机环境下运行,若不存在则继续执行。接着该样本释放文件csrss.exe,创建子进程,并设置自启动。随后,该样本会生成公钥密码,遍历系统磁盘指定文件类型的文件,使用公钥密码对文件名和文件内容进行加密,并将文件类型修改为DA_VINCI_CODE,并创建隐藏文件xfs,将加密文件的源文件信息写入xfs,该样本还会创建隐藏文件state,将相关主机信息写入该文件,随后,向指定IP地址发送TCP请求,建立连接后发送xfs、state文件,最后,样本修改感染主机的桌面背景,创建README1.txt,...,README10.txt,留下联系信息和赎金需求,实现勒索功能。

总结:

针对勒索软件,安天追影小组提醒各位网络用户,重要的文件和数据一定要及时备份,并确认备份的信息能够完美地恢复,另外,要提升自身的网络安全意识,及时更新系统并打补丁,采用较为可靠的安全软件,在接收邮件时要注意检查来源是否可靠,对于不明来源的附件不要轻易下载,以防止钓鱼软件中的恶意代码对系统进行感染。

MD5:

A6CD22776298A7B3E669FF2D879B10A5

参考链接:

http://mp.weixin.qq.com/s/WS27nB-cDWscS_JFdPj3Fg
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=974
https://securelist.com/analysis/publications/72087/the-shade-encryptor-a-double-threat/