|
1、AVCrypt概述 2018年3月22日,一款可以卸载安全软件的勒索者病毒“AVCrypt”被研究人员发现。该勒索软件是首个在加密磁盘文件之前先卸载安全软件的勒索者病毒。不同于已经出现的关闭防火墙的恶意代码,该勒索软件可从微软Windows操作系统的安全中心中查询已经注册的安全软件并加以卸载。 虽然该样本回传了加密密钥,但根据其不完整的勒索信息,安天分析人员认为其仍是开发中用以测试的半成品,其后续版本可能会具有更多的恶意功能,因此需提高警惕。 经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可实现对AVCrypt的有效防护。 2、AVCrypt样本分析 2.1 样本标签 表2-1 二进制可执行文件 2.2 样本功能 2.2.1 卸载安全软件 样本通过两种方式卸载安全软件,第一种是停止并删除服务,第二种是卸载安全中心注册的安全软件。 ➤ 停止并删除服务 图2-1 删除的部分服务列表 ➤ 卸载安全中心注册的安全软件 图2-2 查询注册的安全软件 样本主要针对四个安全软件,它们是: 图2-3 主要针对的安全软件 2.2.2 调用bcdedit等命令关闭一些系统恢复功能 样本会调用bcdedit与一些其他命令关闭系统功能,如图所示: 图2-4 关闭一些系统功能 2.2.3 显示伪装进度条 样本还具有显示虚假进度条的功能: 图2-5 显示伪装进度条 2.2.4 查找Tor浏览器 样本遍历系统进程,查找Tor.exe,若不存在,则加载资源并安装Tor浏览器。 图2-6 查找Tor.exe 2.2.5 使用AES-256算法加密文件 样本使用AES-256算法加密磁盘文件,但没有使用RSA算法加密生成的AES密钥,如图所示: 图2-7 生成AES密钥 2.2.6 回传系统信息与密钥 接下来会回传系统相关信息及密钥,还有剪切板中的内容,如图所示: 图2-8 回传系统信息及密钥 图2-9 获取剪切版内容 2.2.7 设置系统壁纸为蓝色 最后设置系统壁纸为蓝色: 图2-10 设置系统壁纸为蓝色 2.2.8 加密文件的状态 文件被加密后文件名最前面会多一个字符“+”,如图所示: 图2-11 加密文件的状态 2.2.9 勒索软件提示信息 分析人员认为该勒索软件是测试版的理由就是警告信息,仅仅有着“lol n”几个字符,并没有任何联系方式,如图所示: 图2-12 警告信息 3、防护建议 3.1 预防建议 1.及时备份重要文件,且文件备份应与主机隔离; 2.及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机; 3.尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问; 4.对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接; 3.2 安天智甲有效防护 经验证,安天智甲可实现对AVCrypt的有效防护。 图3-1 安天智甲对AVCrypt进行防御 图3-2 安天智甲文档保护界面 (注:由于业内病毒命名规则各不相同,本告警中呈现的病毒名称是依托于安天病毒命名规则。) AVCrypt会在加密前停止部分安全软件的服务。面对这种攻击手段,安天智甲具有程序自保护能力。安天智甲可对自身进程和文件进行防护,通过系统驱动层的监控与防护,能够阻止停止安天智甲服务或对安天智甲程序文件进行修改的进程。 另外,AVCrypt还会对系统注册表项进行恶意修改。安天智甲支持对注册表进行实时监控,当发现有程序对注册表进行可疑操作时,会自动捕获源文件,对源文件的特征信息、数字签名、向量等进行采集或提取,利用这些数据分析文件安全性,对危险性较高的文件进行告警并隔离。 安天智甲针对勒索软件,采用多种防护机制相融合的防护方案,通过建立勒索软件文件特征库、勒索软件行为特征库以及文档专属防护模块,使终端可以获得对已知和未知勒索软件的有效防护能力。 4、总结 AVCrypt勒索病毒使用了独特的卸载安全软件的功能,回传系统信息及剪切板信息。从功能上来看,虽然目前为测试版本,但仍具有相当高的完成度。由于其并没有使用RSA算法加密回传的密钥,该加密文件并不是完全不能解密,不过需要非常长的时间来计算。 安天将对其后续进展进行持续跟踪分析,但对于其后续版本,做好预防工作才是重中之重。
| 
发表于 2018-4-15 21:02:25
卸载请输入反人类验证码(