勒索软件KillDisk分析报告

近日,安天追影小组在整理网络安全事件时,注意到了一款恶意软件KillDisk。在2017年初安天追影小组曾发布过一篇关于TeleBots工具集的周观察,KillDisk正是其中一个用于数据擦除的组件。但在近日发现的最新变种中,KillDisk却像传统勒索软件一样对文件进行加密,并索要巨额赎金,且原本仅针对Windows平台的KillDisk,已发展出针对Linux平台的版本。

分析介绍:

恶意软件KillDisk在Windows和Linux两个平台下的勒索信息基本是一致的,包括高达222比特币(约218,000美元)的赎金、支付比特币的地址、联系邮件。但两个平台下的样本在具体的技术实现上仍然存在着不同。以下为对MD5为 68cf2070d8fb4963211cfa4f2daa72e5的Windows平台的样本和MD5为b9748ec5a7a0e3bc3ca139083ca875b0的Linux平台的样本的分析对比。

在加密方式上,Windows平台下的恶意软件首先通过CryptGenRandom函数生成256位的随机密钥,对目标文件进行AES加密,再通过1024位的RSA密钥对上述256位的对称密钥进行RSA算法加密。为了防止对文件重复进行加密,该恶意软件会给已加密的文件加上后缀”DoN0t0uch7h!$CrYpteDfilE”表意为“Donot touch this crypted file”。

在Linux平台下,勒索信息使用一种不同寻常的表现方式,即修改GRUB引导记录。一旦恶意软件运行,引导记录将会被覆盖,以显示勒索信息。在重新启动之后,被感染的系统将无法正常启动,在加密方式上,恶意软件会遍历指定的16个子目录,并且对其进行加密处理。加密时针对每4096字节的文件块,采用三重DES算法进行加密,并且,每一个文件都将采用不同的64位加密密钥。

值得一提的是,该勒索软件的解密密钥既没有存储在受感染主机上,也没有保存在C&C服务器上。这就意味着即使受害者向勒索者支付了高额的赎金,依旧无法恢复已被加密的数据。

总结:

随着对恶意软件KillDisk的分析流行,安天追影团队提醒广大网络用户,要提高自身的安全意识,及时更新操作系统和杀毒软件,对于来源不明的邮件,切记不可轻易下载附件,也不要点击或者复制邮件中的网址,以防止钓鱼邮件中的恶意代码的感染。另外,针对重要的数据、文件,一定要及时备份,以免受到勒索软件冲击时造成财产、资料的损失。

MD5:

68cf2070d8fb4963211cfa4f2daa72e,b9748ec5a7a0e3bc3ca139083ca875b0

参考链接:

http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cant-decrypt/
http://www.freebuf.com/news/124783.html