勒索病毒（CrySiS家族）最新变种分析2018-08-24

　　近期，天融信阿尔法尝试室捕捉到了一款最新的勒索病毒软件，颠末阐发确定该样本是CrySiS家族的变类。

　　留意：加密后的文件名都形如带“id-186103BD” 为磁盘ID也做为声明外传染机械的ID。

　　软盘内的除系统所无文件全数被加密了，加密后的文件全数以“.arrow”结尾，如图1-2所示：

　　按照勒索病毒加密后文件定名特点和勒索声明的文字描述，同时对其二进制代码深切阐发，鉴定该勒索病毒为CrySiS家族的样本的最新变类。

　　该家族可逃溯到2016年起头具无勒索勾当，2017年5月份采用RDP暴力破解体例进行植入办事器进行勒索，加密后文件后以java后缀结尾，2017年8月发觉一个新变类,加密后的文件名以“.arena”结尾，外国境内的工场遭到攻击的较多，2018年6月呈现一个新变类，后缀“.bip”结尾，7月最新变类添加了传染文件品类。

　　启动起头绘制200*200的窗口，位放正在不成见处，正在那该窗口外会获取0×774的控件ID字符串，现实上那个窗口没成心义；

　　会添加注册表和系统Startup启动项，删除磁盘卷影免得磁盘恢复，杀死主要历程，为了加密文件时，解除文件占用，遍历A~Z的逻辑磁盘进入加密线程，另启线程来解密预备进行加密文件的可施行代码，之后采用RSA+AES加密算法进行文件加密。

　　勒索病毒无挪用“Wow64DisableWow64FsRedirection”API，该功能为：正在64位系统下，禁行系统目次沉定向到Syswow64目次下，为以办理员身份运转复制本身到system32目次下做预备，现实上并不克不及以办理员身份运转。

　　通过挪用GetExtentedTcpTable和GetIpNetTable获取临近从机IP，但没无对IP列表做任何操做。可能那个变类的做者删除了自我攻击传布的功能，那取以往勒索软件分歧，以往勒索软件会把获取的临近 ip做为攻击的方针。

　　加密之前需要查觅以上文件类型，并查觅局域网外的共享文件，同时要查抄文件大小，若文件大小大于0×180000，就会采用大文件加密方式进行加密。

　　文件大小大于0×180000就会把加密后的内容写入本文件，采用MoveFile对本文件进行改名，以“.arrow”结尾，而不删除本文件。

　　对于文件大小小于或等于0×180000就会把加密后的内容写入新建以“.arrow”结尾文件外，之后删除本文件。

　　加密采用AES加密，密钥AESKEY为256bit，加密后会把AESKEY采用RSA加密（公钥为内放1024bit）和最初一次的IV写入加密文件外，加密算法并晦气用公开的加密库，而是把所无加密算法间接写入法式外。

　　加密时，起首把文件内容读入内存，顺次用其16字节每4字节倒序（为计较时采用本文件字节挨次）进行IV同或计较（BUF xor IV），之后再进行AES加密。

　　随机生成32字节AESKEY（前4字节为时间），汇编指令采用rdtsc指令为cpu自启动运转时间周期，如许也能够理解为随秘密钥，再用RSA公钥计较SHA1对其32随机数进行更新，生成AESKEY，初始IV，是随机生成16字节（前4字节为时间），再用计较SHA1对其16随机数进行更新，来生成IV。

　　文件内容进行AES加密时，顺次用文件内容的16字节，采用IV进行xor计较，之后AES加密，最初保留，代码如下：

　　AES加密后的密文写入新的文件文件名以“Id-xxxxxxxx.[.arrow]”结尾，写完密文后会把文件名，最初加密的IV和颠末RSA加密后的AESKEY写入本次加密的密文的后面。

　　如许解密时，需要用RSA私钥解密出AESKEY，采用最初加密的IV，按照上述加密的反过程就能够解密了。或能够采用测验考试采办做者的解密东西，觅到RSA私钥，就能够全数文件解密。

　　该勒索软件次要针对于windows的办事器，出格是企业办事器好比工场等，主要的是平安防备无疏漏，容难受攻击。它采用当前风行的强加密算法（RSA+AES）理论上受害者是无法解开的。

　　若无客户联系做者采办领会密东西，请联系我们，我们会从解密东西外测验考试觅到环节密钥便能够解密全数文件。