“愛馬仕”勒索病毒分析

■楊浩

近期，360安全中心發(fā)現(xiàn)一款名為”愛馬仕”的勒索病毒開始在國內(nèi)傳播，該勒索病毒此次的主要攻擊目標是Windows服務(wù)器。目前流行的服務(wù)器勒索病毒中，有超過九成是通過遠程桌面進行傳播的。該勒索病毒更讓人頭痛的一點是，它除了不加密exe、dll、ini、lnk幾種類型的文件外，其余的類型的文件它都會加密。這里提醒大家，開啟服務(wù)器遠程桌面時需要謹慎處理，萬不可在使用弱口令的機器上開啟，不要有僥幸心理。

病毒分析

首先，勒索病毒會檢測中招者磁盤的剩余量，如果獲取磁盤剩余量失敗或者是磁盤的容量不足4G，勒索病毒就會停止工作。

若磁盤空間充足，則會通過動態(tài)獲取的方法加載后續(xù)操作所需要的函數(shù)，以此來躲避殺毒軟件的靜態(tài)查殺。

該勒索病毒同時還會對系統(tǒng)版本是XP、Server2000、Server2003和Server2003 R2的中招機器進行額外的內(nèi)存處理。由于在以上這些系統(tǒng)中，生成的密鑰對和密鑰容器都會被存儲在內(nèi)存中。所以勒索病毒會額外清空一下內(nèi)存中的密鑰容器內(nèi)容和密鑰對，避免在內(nèi)存中找到密鑰從而恢復(fù)被加密的文件。

文件加密部分

該勒索病毒會在本地生成兩個文件：

1.PUBLIC：病毒在本地生成的RSA密鑰對中的公鑰部分

2.UNIQUE_ID_DO_NOT_REMOVE：包含兩部分。

（a）用病毒在本地生成的AES密鑰加密在本地生成的RSA密鑰對中的私鑰的密文；

（b）用在病毒中硬編碼的RSA公鑰加密本地生成的AES密鑰的密文；

病毒在本地進行的RSA密鑰對生成動作以及將密鑰對中的RSA公鑰寫入到PUBLIC文件中。

接下來是UNIQUE_ID_DO_NOT_REMOVE文件的生成。其第一部分是用256位的AES密鑰去加密2 048位的RSA的私鑰。而第二部分是用病毒中硬編碼的RSA的公鑰去加密AES密鑰。

完成后，病毒會將剛剛生成的PUBLIC文件中的RSA公鑰讀取出來，在稍后進行的文件加密操作中，用于對加密密鑰的再加密工作。

病毒會創(chuàng)建一個批處理腳本（bat）來啟動%TEMP%目錄下的勒索病毒主體。但是在后續(xù)操作中，并沒有將該病毒釋放到%TEMP%目錄里，并沒有發(fā)現(xiàn)該腳本的存在有任何意義，這令分析人員頗為不解。

勒索病毒讀取并解密自身資源，釋放勒索信息。從自身資源中獲取勒索郵箱地址。郵箱地址有兩個：一個是dechhelp#airmail.cc，另一個是dechsupp#cock.lio。其中后者為備用郵箱。

病毒遍歷文件的過程中，還會判斷當前盤符掛載的是否是只讀光盤，若是，則不再對該磁盤進行加密操作。

系統(tǒng)目錄不加密

在遍歷目錄的時候，如果遇到目錄包含Windows、Ahn-Lab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS 等字符串中的任意一個，病毒便會跳過對該目錄的加密。

接下來，病毒會先判斷正在掃描的目標是文件還是目錄：若是一個目錄就生成敲詐信，并進入該目錄繼續(xù)做遞歸掃描工作。若不是目錄，再判斷該文件是否是生成的敲詐信息或生成的唯一ID，均不是則繼續(xù)檢查文件的擴展名，若不是dll、exe、ini、lnk、hrmlog 中的一個才會進行加密工作。

不加密指定的文件后綴

開始加密，病毒會讀取該文件內(nèi)容到內(nèi)存中，再對內(nèi)容進行檢測——看文件內(nèi)容中是否被寫入了HERMES標記，該敲詐者的名字“愛馬仕”就是取之于該標記。若找到標記則不再加密文件，僅將擴展名改為.HRM即可。

若未找到HERMES標記，就開始加密文件。加密開始前，病毒會先生成一個256位的AES密鑰。AES密鑰生成成功，則開始加密文件，加密完成后，寫入文件標識“HERMES”。最后，病毒將AES密鑰用PUBLIC中的RSA公鑰加密，再將加密后的AES密鑰寫入到文件尾部。

病毒對本地文件的加密工作全部完成后，還會嘗試枚舉網(wǎng)絡(luò)資源（如共享文件）去加密。全部完成后，還會再次清空內(nèi)存中的會話密鑰，確保不會出現(xiàn)因密鑰殘留于內(nèi)存中而被用于恢復(fù)文件的情況。

如果想要解密文件，就需要將UNIQUE_ID_DO_NOT_REMOVE交給作者，讓其用自己手里的RSA私鑰解密出AES-256-1密鑰。然后用AES-256-1去解密出RSA-2048私鑰。再用RSA-2048私鑰去解密出每個文件中的AES-256-2密鑰。最后，用AES-256-2密鑰解密文件內(nèi)容。

后續(xù)處理

所有加密工作完成后，病毒還會進行一些其他的善后工作。首先是刪除卷影副卷，以及刪除后綴名為.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串類型的文件——因為這些文件都可能是備份文件。

之后，會再次檢測桌面目錄中是否有生成敲詐信息，如果沒有就生成一份敲詐信息。確認敲詐信息存在后，病毒會將這份桌面上的DECRYPT_INFORMATION.html敲詐信息文件直接運行起來。最后刪除病毒自己。

敲詐信息中向中招者索要0.8個比特幣，按寫稿時匯率換算，相當于人民幣32 000元。這么貴的解密費用，也配得上“敲詐界奢侈品”的稱號。

在線服務(wù)器一直以來都是各路黑客最常見的攻擊目標，而勒索病毒為這類攻擊提供了一個新的變現(xiàn)渠道，一般而言服務(wù)器上的數(shù)據(jù)相較普通PC更具價值，被勒索后支付意愿更高，讓此類攻擊也更加泛濫。對于大量的中小型企業(yè)，服務(wù)器的防護往往是一個被疏忽的部分，這里必須要警惕這一點。尤其在開啟遠程桌面服務(wù)時，要注意以下幾點：

1.盡可能避免使用默認的用戶名，使用復(fù)雜口令（不要使用有規(guī)律可尋的口令）。

2.對多用戶賬戶的服務(wù)器，設(shè)置嚴格的管理策略，并強制登錄口令設(shè)置的復(fù)雜度。同時，管理員要嚴格控制每個賬戶的權(quán)限。

3.多臺計算機組成局域網(wǎng)時，不要使用相同的用戶名和口令。

4.口令需要做到定期更換。

5.安裝一款靠譜的安全軟件，可以幫助輕松解決絕大部分安全問題，例如360安全衛(wèi)士推出的“遠程登錄保護”功能，就能從陌生IP登錄和多次登錄口令錯誤兩大方面，有效防御勒索病毒遠程登錄控制服務(wù)器。