警惕首個卸載安全軟體的勒索者“AVCrypt”
1、AVCrypt概述
2018年3月22日,一款可以卸載安全軟體的勒索者病毒“AVCrypt”被研究人員發現。該勒索軟體是首個在加密磁片檔之前先卸載安全軟體的勒索者病毒。不同於已經出現的關閉防火牆的惡意程式碼,
雖然該樣本回傳了加密金鑰,但根據其不完整的勒索資訊,安天分析人員認為其仍是開發中用以測試的半成品,其後續版本可能會具有更多的惡意功能,因此需提高警惕。
經驗證,安天智甲終端防禦系統(英文簡稱IEP,以下簡稱安天智甲)可實現對AVCrypt的有效防護。
2、AVCrypt樣本分析
2.1
樣本標籤
表2-1 二進位可執行檔
2.2
樣本功能
2.2.1 卸載安全軟體
樣本通過兩種方式卸載安全軟體,第一種是停止並刪除服務,第二種是卸載安全中心註冊的安全軟體。
➤ 停止並刪除服務
圖2-1 刪除的部分服務清單
➤ 卸載安全中心註冊的安全軟體
圖2-2 查詢註冊的安全軟體
樣本主要針對四個安全軟體,它們是:
圖2-3 主要針對的安全軟體
2.2.2 調用bcdedit等命令關閉一些系統恢復功能
樣本會調用bcdedit與一些其他命令關閉系統功能,如圖所示:
圖2-4 關閉一些系統功能
2.2.3 顯示偽裝進度條
樣本還具有顯示虛假進度條的功能:
圖2-5 顯示偽裝進度條
2.2.4 查找Tor流覽器
樣本遍歷系統進程,查找Tor.exe,若不存在,則載入資源並安裝Tor流覽器。
圖2-6 查找Tor.exe
2.2.5 使用AES-256演算法加密檔
樣本使用AES-256演算法加密磁片檔,但沒有使用RSA演算法加密生成的AES金鑰,如圖所示:
圖2-7 生成AES金鑰
2.2.6 回傳系統資訊與金鑰
接下來會回傳系統相關資訊及金鑰,還有剪切板中的內容,如圖所示:
圖2-8 回傳系統資訊及金鑰
圖2-9 獲取剪切版內容
2.2.7 設置系統壁紙為藍色
最後設置系統壁紙為藍色:
圖2-10 設置系統壁紙為藍色
2.2.8 加密檔的狀態
檔被加密後檔案名最前面會多一個字元“+”,如圖所示:
圖2-11 加密檔的狀態
2.2.9 勒索軟體提示資訊
分析人員認為該勒索軟體是測試版的理由就是警告資訊,僅僅有著“lol n”幾個字元,並沒有任何聯繫方式,如圖所示:
圖2-12 警告資訊
3、防護建議
3.1
預防建議
1.及時備份重要檔,且檔案備份應與主機隔離;
2.及時安裝更新補丁,避免一些勒索軟體利用漏洞感染電腦;
3.儘量避免打開社交媒體分享等來源不明的連結,給信任網站添加書簽並通過書簽訪問;
4.對非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的連結;
5.定期用反病毒軟體掃描系統,如殺毒軟體有啟發式掃描功能,可使用該功能掃描電腦。
3.2
安天智甲有效防護
經驗證,安天智甲可實現對AVCrypt的有效防護。
圖3-1 安天智甲對AVCrypt進行防禦
圖3-2 安天智甲文檔保護介面
(注:由於業內病毒命名規則各不相同,本告警中呈現的病毒名稱是依託于安天病毒命名規則。)
AVCrypt會在加密前停止部分安全軟體的服務。面對這種攻擊手段,安天智甲具有程式自保護能力。安天智甲可對自身進程和檔進行防護,通過系統驅動層的監控與防護,能夠阻止停止安天智甲服務或對安天智甲程式檔進行修改的進程。
另外,AVCrypt還會對系統登錄項進行惡意修改。安天智甲支持對註冊表進行即時監控,當發現有程式對註冊表進行可疑操作時,會自動捕獲原始檔案,對原始檔案的特徵資訊、數位簽章、向量等進行採集或提取,利用這些資料分析檔安全性,對危險性較高的檔進行告警並隔離。
安天智甲針對勒索軟體,採用多種防護機制相融合的防護方案,通過建立勒索軟體檔特徵庫、勒索軟體行為特徵庫以及文檔專屬防護模組,使終端可以獲得對已知和未知勒索軟體的有效防護能力。
4、總結
AVCrypt勒索病毒使用了獨特的卸載安全軟體的功能,回傳系統資訊及剪切板資訊。從功能上來看,雖然目前為測試版本,但仍具有相當高的完成度。由於其並沒有使用RSA演算法加密回傳的金鑰,該加密檔並不是完全不能解密,不過需要非常長的時間來計算。
安天將對其後續進展進行持續跟蹤分析,但對於其後續版本,做好預防工作才是重中之重。
2.2.9 勒索軟體提示資訊
分析人員認為該勒索軟體是測試版的理由就是警告資訊,僅僅有著“lol n”幾個字元,並沒有任何聯繫方式,如圖所示:
圖2-12 警告資訊
3、防護建議
3.1
預防建議
1.及時備份重要檔,且檔案備份應與主機隔離;
2.及時安裝更新補丁,避免一些勒索軟體利用漏洞感染電腦;
3.儘量避免打開社交媒體分享等來源不明的連結,給信任網站添加書簽並通過書簽訪問;
4.對非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的連結;
5.定期用反病毒軟體掃描系統,如殺毒軟體有啟發式掃描功能,可使用該功能掃描電腦。
3.2
安天智甲有效防護
經驗證,安天智甲可實現對AVCrypt的有效防護。
圖3-1 安天智甲對AVCrypt進行防禦
圖3-2 安天智甲文檔保護介面
(注:由於業內病毒命名規則各不相同,本告警中呈現的病毒名稱是依託于安天病毒命名規則。)
AVCrypt會在加密前停止部分安全軟體的服務。面對這種攻擊手段,安天智甲具有程式自保護能力。安天智甲可對自身進程和檔進行防護,通過系統驅動層的監控與防護,能夠阻止停止安天智甲服務或對安天智甲程式檔進行修改的進程。
另外,AVCrypt還會對系統登錄項進行惡意修改。安天智甲支持對註冊表進行即時監控,當發現有程式對註冊表進行可疑操作時,會自動捕獲原始檔案,對原始檔案的特徵資訊、數位簽章、向量等進行採集或提取,利用這些資料分析檔安全性,對危險性較高的檔進行告警並隔離。
安天智甲針對勒索軟體,採用多種防護機制相融合的防護方案,通過建立勒索軟體檔特徵庫、勒索軟體行為特徵庫以及文檔專屬防護模組,使終端可以獲得對已知和未知勒索軟體的有效防護能力。
4、總結
AVCrypt勒索病毒使用了獨特的卸載安全軟體的功能,回傳系統資訊及剪切板資訊。從功能上來看,雖然目前為測試版本,但仍具有相當高的完成度。由於其並沒有使用RSA演算法加密回傳的金鑰,該加密檔並不是完全不能解密,不過需要非常長的時間來計算。
安天將對其後續進展進行持續跟蹤分析,但對於其後續版本,做好預防工作才是重中之重。