勒索木马Shade新变种分析报告

时间 ：  2017年01月16日  来源：  安天

近期，安天追影小组在梳理网络安全事件时，注意到一款勒索软件，经分析，是勒索木马Shade的家族新变种。Shade于2015年初被发现，利用恶意垃圾邮件或漏洞作为其主要感染媒介。该勒索软件能够加密超过150种格式的文件，文件内容和文件名均会被加密，并被修改扩展名。加密结束后，被感染主机的背景桌面会显示一封勒索信，即使受害者支付了赎金，Shade家族的样本依旧不会停止其恶意行为，样本会在受害者电脑上下载其他恶意软件，持续感染受害者主机。

分析介绍：

该勒索软件首先在普通商务邮件的附件中存放一个经过压缩的脚本，通过具有欺骗性的邮件内容诱导接收者打开压缩包并运行该脚本。脚本运行后，自动调用Powershell执行下载功能，下载指定URL资源，脚本下载的木马程序会将自身的图标修改为PDF图标，以欺骗受害者主动运行该样本。

追影小组针对脚本下载的程序herty.exe（Md5：A6CD22776298A7B3E669FF2D879B10A5）进行分析，发现该程序会遍历进程，查找进程中是否存在“VboxService.exe”、“vmtoolsd.exe”，以检测是否是在虚拟机环境下运行，若不存在则继续执行。接着该样本释放文件csrss.exe，创建子进程，并设置自启动。随后，该样本会生成公钥密码，遍历系统磁盘指定文件类型的文件，使用公钥密码对文件名和文件内容进行加密，并将文件类型修改为DA_VINCI_CODE，并创建隐藏文件xfs，将加密文件的源文件信息写入xfs，该样本还会创建隐藏文件state，将相关主机信息写入该文件，随后，向指定IP地址发送TCP请求，建立连接后发送xfs、state文件，最后，样本修改感染主机的桌面背景，创建README1.txt，...，README10.txt，留下联系信息和赎金需求，实现勒索功能。

总结：

针对勒索软件，安天追影小组提醒各位网络用户，重要的文件和数据一定要及时备份，并确认备份的信息能够完美地恢复，另外，要提升自身的网络安全意识，及时更新系统并打补丁，采用较为可靠的安全软件，在接收邮件时要注意检查来源是否可靠，对于不明来源的附件不要轻易下载，以防止钓鱼软件中的恶意代码对系统进行感染。

MD5:

A6CD22776298A7B3E669FF2D879B10A5

参考链接:

http://mp.weixin.qq.com/s/WS27nB-cDWscS_JFdPj3Fg
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=974
https://securelist.com/analysis/publications/72087/the-shade-encryptor-a-double-threat/