118期报告汇总
安天发布《File-Locker 勒索软件分析报告》
近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时注 意到一例勒索信为韩语的勒索软件 File-Locker。一旦受害者遭受该勒索软件攻击, 需要向攻击者支付 50K 韩元解密文件。 通过对 File-Locker 分析发现,该勒索软 件属于 Hidden Tear 的变种(Hidden Tear 是在 2015 年出现在开源社区 github 的用 于学习和教学用途的勒索软件,但逐渐被 恶 意 攻 击 者 修 改 滥 用)。File-Locker 对 Windows .NET 用户有效而不仅是韩语用 户,加密成功后将加密文件后缀名修改为 “.locked”,加密方式是使用对称加密算法 AES,并且没有与其他加密算法结合使 用,因此 File-Locker 可以通过查找硬编 码的密码进行解密。
通过对 File-Locker 勒索软件的样本分 析发现,样本编译环境是 Microsoft Visual C# v7.0 / Basic .NET (managed),样本使 用 windows 10 图标作为伪装,一旦被受害 者点击执行,将会扫描受害者机器的文件 目录,包括桌面、图片、文档、下载、音 乐和视频目录,并针对常见文档扩展名进 行加密。随后在桌面创建 Warning!!!!!!.txt 勒索信息文件。通过对样本反编译,得到 AES 加密密钥“dnwls07193147”,因此可通过该密钥对加密文件进行解密。
安天 CERT 提醒广大网络使用 者,要提高网络安全意识,在日常工作中 要及时进行系统更新和漏洞修复,不要随 意下载非正版的应用软件、非官方游戏、 注册机等。收发邮件时要确认收发来源是 否可靠,更加不要随意点击或者复制邮件 中的网址,不要轻易下载来源不明的附件, 发现网络异常要提高警惕并及时采取应对 措施,养成及时更新操作系统和软件应用 的好习惯。目前,安天追影产品已经实现 了对该类勒索软件样本的检出。
