勒索病毒预警：使用白签名的PyLocky勒索病毒正通过垃圾邮件传播

腾讯电脑管家

0x1 概述

近日，腾讯御见威胁情报中心监控到一款勒索病毒，该勒索病毒主要通过垃圾邮件传播，从代码完整度来看，似乎还处于初期发展阶段。令人惊讶的是，该勒索病毒还携带了正规白签名证书，签名信息为LA CREM LTD。

签名滥用、盗用、冒用等情况在以往发现的案例中多为流氓软件或木马程序，勒索病毒使用白签名的情况还实属罕见。勒索病毒一旦拥有了合法证书，极易被安全软件放行，严重影响网络安全，会给企业带来不可逆的严重损失。

详细分析发现，PyLocky勒索病毒具有以下特性：

1.病毒母体伪装成docx文件图标，实际为EXE执行文件，通过电子邮件附件传播；

2.该勒索病毒为python语言编写，有正规的数字签名，签名人名称为LA CREM LTD；具有正规数字签名的文件极易被安全软件放行；

3.被加密的文件扩展后缀为.lockedfile，分析该病毒的加密原理，没有私钥无法解密；

4.根据勒索信息，受害者若想解密受损文件，必须使用tor浏览器访问境外网站（暗网）购买解密工具。

0x2 样本分析

勒索病毒母体伪装了一个docx的文件图标，使得更容易在受害者收到恶意邮件场景下被信任打开。分析后可知该病毒母体为使用inno setup 5.5.7打包的一个安装包程序。

样本图标伪装doc文档，查看文件信息为白签名程序

使用inno setup 5.5.7进行打包的安装包程序

对inno setup安装包解包后可得到一系列的病毒运行依赖库文件和一个名为lockyfud.exe的勒索病毒主PE文件。分析该PE文件为python编写使用第三方工具打包而成。解包后对lockyfud核心文件分析可见勒索病毒主要代码。

inno setup解包后文件目录，核心文件为lockyfud.exe

lockyfud.exe使用Python编写打包

lockyfud.exe解包后可拿到文件lockyfud文件

lockyfud反编译可拿到py脚本文件

拿到以上脚本后其中的恶意代码还进行了一定程度的加密隐藏。恶意代码通过使用BASE64解码后再使用AES解密，最后动态编译执行。处理加密的Python字节码后可进一步得到清晰的勒索病毒加密流程脚本。

勒索病毒首先获取机器信息和随机生成文件加密密钥，Password为随机生成的DES算法密钥，用于后期加密文件使用。

DES文件加密密钥同机器信息一同被使用RSA算法加密并使用BASE64编码保存作为用户解密ID信息保存到Msg

RSA公钥如上图，私钥在作者手中

然后获取磁盘驱动器信息

对每个盘符下文件创建线程进行加密

加密后缀类型如图所示包含了常见的文档类，音频类，视屏类，数据类文件，碰到已加密文件类型lockedfile或病毒说明文件则不进行加密

加密流程为先读取原始文件数据，使用BASE64编码后再使用DES算法进行加密写文件，添加lockedfile后缀。

原始文件并不做删除，而是将msg提示信息（包含用户解密ID信息）直接覆盖写入原文件。最后创建一个包含msg提示信息（包含用户解密ID信息）文件，扩展后缀为.lockymap。

文件被加密

在每个加密文件目录下创建勒索提示文件，分别使用英语，法语，意大利语，韩语来提示勒索信息，要求受害者使用tor浏览器访问暗网，进一步购买解密工具。

0x3安全建议

针对个人用户：

1. 不要点击来源不明的邮件附件，当一个文件用docx（Word文档）作图标，却是EXE可执行文件时，显然属于恶意程序伪装，一定不要打开。

2. 不使用外{过}{滤}挂、破解补丁等容易传播病毒的软件。

3. 保持腾讯电脑管家等安全软件的运行状态，及时修复系统漏洞，实时拦截病毒风险。

4. 推荐使用“文档守护者”对重要文件和数据（数据库等数据）进行定期备份。打开电脑管家【工具箱】-【文档】-【文档守护者】，全面保护文档安全。

针对企业用户：

1、 尽量关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

8、推荐企业用户使用御界高级威胁检测系统检测未知威胁，通过对企业内外网边界处网络流量的分析，感知漏洞的利用和攻击。（详情链接：https://s.tencent.com/product/gjwxjc/index.html）

0x4勒索自救

如有用户文档不幸被勒索病毒加密，可使用腾讯电脑管家勒索病毒搜索引擎寻找已知的自救流程，电脑管家搜索引擎覆盖收集国内外超过280余种勒索病毒家族的相关信息，可解密超过百余种勒索病毒。受害者被加密的文件，部分可以尝试解密。

网址：https://guanjia.qq.com/pr/ls/

0x5 IOC

Md5

d3d28b9665bdbc7a297e977134b90810

Jerry.Lin

相关样本早已在8月27号被捕获……

PACKAGE 0827
https://bbs.kafan.cn/thread-2130921-1-1.html

0827(15).exe  -  d3d28b9665bdbc7a297e977134b90810

https://www.virustotal.com/#/fil ... b4684dce9/detection