警惕首個卸載安全軟體的勒索者“AVCrypt”

1、AVCrypt概述

2018年3月22日，一款可以卸載安全軟體的勒索者病毒“AVCrypt”被研究人員發現。該勒索軟體是首個在加密磁片檔之前先卸載安全軟體的勒索者病毒。不同於已經出現的關閉防火牆的惡意程式碼，該勒索軟體可從微軟Windows作業系統的安全中心中查詢已經註冊的安全軟體並加以卸載。

雖然該樣本回傳了加密金鑰，但根據其不完整的勒索資訊，安天分析人員認為其仍是開發中用以測試的半成品，其後續版本可能會具有更多的惡意功能，因此需提高警惕。

經驗證，安天智甲終端防禦系統（英文簡稱IEP，以下簡稱安天智甲）可實現對AVCrypt的有效防護。

2、AVCrypt樣本分析

2.1

樣本標籤

表2-1 二進位可執行檔

2.2

樣本功能

2.2.1 卸載安全軟體

樣本通過兩種方式卸載安全軟體，第一種是停止並刪除服務，第二種是卸載安全中心註冊的安全軟體。

➤ 停止並刪除服務

圖2-1 刪除的部分服務清單

➤ 卸載安全中心註冊的安全軟體

圖2-2 查詢註冊的安全軟體

樣本主要針對四個安全軟體，它們是：

圖2-3 主要針對的安全軟體

2.2.2 調用bcdedit等命令關閉一些系統恢復功能

樣本會調用bcdedit與一些其他命令關閉系統功能，如圖所示：

圖2-4 關閉一些系統功能

2.2.3 顯示偽裝進度條

樣本還具有顯示虛假進度條的功能：

圖2-5 顯示偽裝進度條

2.2.4 查找Tor流覽器

樣本遍歷系統進程，查找Tor.exe，若不存在，則載入資源並安裝Tor流覽器。

圖2-6 查找Tor.exe

2.2.5 使用AES-256演算法加密檔

樣本使用AES-256演算法加密磁片檔，但沒有使用RSA演算法加密生成的AES金鑰，如圖所示：

圖2-7 生成AES金鑰

2.2.6 回傳系統資訊與金鑰

接下來會回傳系統相關資訊及金鑰，還有剪切板中的內容，如圖所示：

圖2-8 回傳系統資訊及金鑰

圖2-9 獲取剪切版內容

2.2.7 設置系統壁紙為藍色

最後設置系統壁紙為藍色：

圖2-10 設置系統壁紙為藍色

2.2.8 加密檔的狀態

檔被加密後檔案名最前面會多一個字元“+”，如圖所示：

圖2-11 加密檔的狀態

2.2.9 勒索軟體提示資訊

分析人員認為該勒索軟體是測試版的理由就是警告資訊，僅僅有著“lol n”幾個字元，並沒有任何聯繫方式，如圖所示：

圖2-12 警告資訊

3、防護建議

3.1

預防建議

1.及時備份重要檔，且檔案備份應與主機隔離；

2.及時安裝更新補丁，避免一些勒索軟體利用漏洞感染電腦；

3.儘量避免打開社交媒體分享等來源不明的連結，給信任網站添加書簽並通過書簽訪問；

4.對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的連結；

5.定期用反病毒軟體掃描系統，如殺毒軟體有啟發式掃描功能，可使用該功能掃描電腦。

3.2

安天智甲有效防護

經驗證，安天智甲可實現對AVCrypt的有效防護。

圖3-1 安天智甲對AVCrypt進行防禦

圖3-2 安天智甲文檔保護介面

（注：由於業內病毒命名規則各不相同，本告警中呈現的病毒名稱是依託于安天病毒命名規則。）

AVCrypt會在加密前停止部分安全軟體的服務。面對這種攻擊手段，安天智甲具有程式自保護能力。安天智甲可對自身進程和檔進行防護，通過系統驅動層的監控與防護，能夠阻止停止安天智甲服務或對安天智甲程式檔進行修改的進程。

另外，AVCrypt還會對系統登錄項進行惡意修改。安天智甲支持對註冊表進行即時監控，當發現有程式對註冊表進行可疑操作時，會自動捕獲原始檔案，對原始檔案的特徵資訊、數位簽章、向量等進行採集或提取，利用這些資料分析檔安全性，對危險性較高的檔進行告警並隔離。

安天智甲針對勒索軟體，採用多種防護機制相融合的防護方案，通過建立勒索軟體檔特徵庫、勒索軟體行為特徵庫以及文檔專屬防護模組，使終端可以獲得對已知和未知勒索軟體的有效防護能力。

4、總結

AVCrypt勒索病毒使用了獨特的卸載安全軟體的功能，回傳系統資訊及剪切板資訊。從功能上來看，雖然目前為測試版本，但仍具有相當高的完成度。由於其並沒有使用RSA演算法加密回傳的金鑰，該加密檔並不是完全不能解密，不過需要非常長的時間來計算。

安天將對其後續進展進行持續跟蹤分析，但對於其後續版本，做好預防工作才是重中之重。